Imagemagick邂逅Getimagesize的那点事儿

访客4年前关于黑客接单714

  前段时间写的文章,在微博上说7月底结束分享一下,总算可以发了。感谢 @voidfyoo 提出的这个问题。

  今天遇到一个代码,大致如下:

  $filename=$_FILES['image']['tmp_name'];

  $size=getimagesize($filename);

  if ($size && $size[0] > 100 && $size[1] > 100) {

  $img=new Imagick($_FILES['image']['tmp_name']);

  $img->cropThumbnailImage(100, 100);

  $img->writeImage('newimage.gif');

  }

  用户上传的文件如果大于100px,则用Imagick处理成100×100的缩略图,再存储在硬盘上。

  通过这个代码,我们很容易想到用Imagemagick的漏洞进行测试,但这里前面对图片大小用getimagesize进行了限制,之前爆出来的那些POC均无法通过校验,因为getimagesize并不支持类似PostScript、MVG这样的图片格式。

  这时候我们怎么绕过这个限制呢?

  0×01 Imagemagick命令执行不完全回顾

  Imagemagick历史上曾出现过的很多命令执行漏洞,我在vulhub里做过以下三个:

  1.CVE-2016-3714

  2.CVE-2018-16509

  3.CVE-2019-6116

  之一个是Imagemagick在处理mvg格式图片时导致的命令注入,后两个都是在处理PostScript文件时因为使用了GhostScript,而GhostScript中存在的命令注入。

  Imagemagick是一个大而全的图片处理库,他能处理日常生活中见到的绝大多数图片格式,比如jpg、gif、png等,当然也包括日常生活中很少见到的图片格式,比如前面说的mvg和ps。

  这三个漏洞的具体原理网上很多文章也分析过,我这里就不再分析了,但我们思考一下:一个文件交给Imagemagick处理,他是怎么知道这是哪种格式的图片,并如何处理呢?

  显然需要一个 *** 来区分文件类型,而单纯用文件名后缀来判断是不合理的(文件后缀并不是构成文件名的必要元素),常规的做法就是通过文件头来判断。

  随便翻一下Imagemagick的代码,我就发现大多数文件格式的处理中,通常有一个函数,用来判断这个文件是否是对应的格式。

  比如:

  // coders/ps.c

  static MagickBooleanType IsPS(const unsigned char *magick,const size_t length)

  {

  if (length 4)

  return(MagickFalse);

  if (memcmp(magick,"%!",2)==0)

  return(MagickTrue);

  if (memcmp(magick,"\004%!",3)==0)

  return(MagickTrue);

  return(MagickFalse);

  }

  // coders/mvg.c

  static MagickBooleanType IsMVG(const unsigned char *magick,const size_t length)

  {

  if (length 20)

  return(MagickFalse);

  if (LocaleNCompare((const char *) magick,"push graphic-context",20)==0)

  return(MagickTrue);

  return(MagickFalse);

  }

  这两个函数就是判断文件是否是postscript和mvg格式。很显然,他这里是通过文件头来判断,也就是说,如果想让Imagemagick用ps的处理 *** 来处理图片,这个图片的前几个字节必须是%!或\004%!。

  这也很好理解,文件头的意义就是标示这个文件是什么类型的文件。

  所以,如果我们想利用Imagemagick的命令执行漏洞,必须要给他传入一个合法的mvg或ps文件,或者至少文件头要满足要求。

  0×02 深入getimagesize

  通过翻阅PHP文档,可知getimagesize支持的图片类型有:GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM,WBMP:

  

  那么这时候就犯难了,ps和mvg并不在其中。如果我们传入一个ps文件,getimagesize处理时就会失败并返回false,那么就不会执行到Imagick那里。这种 *** 也是当初ImageTragick漏洞出现时,很多文章推荐的缓解措施。

  似乎很安全,不过我们应该深入研究一下getimagesize究竟是如何处理图片的。

  下载php源码,ext/standard/image.c这个文件是关键,看到如下函数:

  static void php_getimagesize_from_stream(php_stream *stream, zval *info, INTERNAL_FUNCTION_PARAMETERS)

  {

  int itype=0;

  struct gfxinfo *result=NULL;

  if (!stream) {

  RETURN_FALSE;

  }

  itype=php_getimagetype(stream, NULL);

  switch( itype) {

  case IMAGE_FILETYPE_GIF:

  result=php_handle_gif(stream);

  break;

  case IMAGE_FILETYPE_JPEG:

  //...

  case ...

  可见,这里逻辑是首先用php_getimagetype(stream, NULL)来获取图片格式,然后进入一个switch语句,根据格式来分配具体的处理 *** 。

  看看PHP是如何获取图片格式的:

  PHPAPI int php_getimagetype(php_stream * stream, char *filetype)

  {

  char tmp[12];

  int twelve_bytes_read;

  if ( !filetype) filetype=tmp;

  if((php_stream_read(stream, filetype, 3)) !=3) {

  php_error_docref(NULL, E_NOTICE, "Read error!");

  return IMAGE_FILETYPE_UNKNOWN;

相关文章

淘宝禁止发布的商品是哪些,2020年淘宝禁售商品管理规范

说白了国有国法国有国法,在大家日常生活不但有国法和族规也有行规,行规恰好是每一个领域从业者应当遵循的领域标准。 那麼针对从业开淘宝店的店家们,又应当遵循什么行规呢? 1.侵害淘...

北京疫情传染源在哪?疾控专家吴尊友:有两种可能

传染源究竟在哪?疾控专家回应北京疫情关注热点 央视网消息:北京又发现新增确诊病例,传染源在哪?如何防控?来听疾控专家的介绍。 总台央视记者 姜珊:我们看到这一次北京的新增病例都与新发地市场有关,怎...

黑客优书,黑客软件到底谁发现的,win10密码被黑客修改

0:gt; g 期间排序如,aes--ecb即是16字节数为一组,16字节数即是位。释放出来的Setup.exe是C 撰写的下载者程序流程,其关键建立一个名叫“toptwo”的相互独立量,保证 系...

邀你主持一场特别的灯光秀,为祖国庆生!

山河无恙,真好 月圆人圆,真好 这是熟悉的家乡 灯火璀璨处,星辰让光彩 这是亲爱的祖国 歌声起暮鸥,诗情入碧霄 让我们一起 点亮灯光秀 为祖国庆生! 北京 天津 河北...

我想观察一个人要多少钱?私家侦探啊用度也许多少钱

我觉得观查一个人需要多少钱?私人调查啊费用或许要多少钱详尽费用多少钱,这必须看看你的观查是啥, 每一个都是会的负载水准区别。 我是一个私家侦探刘志,北京市,我一直驾车20年, 我建议你不要信任说白了...

淘宝双十一有什么优惠,淘宝双十一优惠券满减规则

双十一到来,各在电子商务平台上的营销活动可谓是五花八门,令人目不暇接,这并不,备受关注的智能科技官方旗舰店也一样进行了火爆的双十一营销活动,大面值的折扣券,特惠的立减主题活动和预定击杀一应俱全,如今就...