Imagemagick邂逅Getimagesize的那点事儿

  前段时间写的文章,在微博上说7月底结束分享一下,总算可以发了。感谢 @voidfyoo 提出的这个问题。   今天遇到一个代码,大致如下:   $filename=$_FILES['image']['tmp_name'];  ...

  前段时间写的文章,在微博上说7月底结束分享一下,总算可以发了。感谢 @voidfyoo 提出的这个问题。

  今天遇到一个代码,大致如下:

  $filename=$_FILES['image']['tmp_name'];

  $size=getimagesize($filename);

  if ($size && $size[0] > 100 && $size[1] > 100) {

  $img=new Imagick($_FILES['image']['tmp_name']);

  $img->cropThumbnailImage(100, 100);

  $img->writeImage('newimage.gif');

  }

  用户上传的文件如果大于100px,则用Imagick处理成100×100的缩略图,再存储在硬盘上。

  通过这个代码,我们很容易想到用Imagemagick的漏洞进行测试,但这里前面对图片大小用getimagesize进行了限制,之前爆出来的那些POC均无法通过校验,因为getimagesize并不支持类似PostScript、MVG这样的图片格式。

  这时候我们怎么绕过这个限制呢?

  0×01 Imagemagick命令执行不完全回顾

  Imagemagick历史上曾出现过的很多命令执行漏洞,我在vulhub里做过以下三个:

  1.CVE-2016-3714

  2.CVE-2018-16509

  3.CVE-2019-6116

  第一个是Imagemagick在处理mvg格式图片时导致的命令注入,后两个都是在处理PostScript文件时因为使用了GhostScript,而GhostScript中存在的命令注入。

  Imagemagick是一个大而全的图片处理库,他能处理日常生活中见到的绝大多数图片格式,比如jpg、gif、png等,当然也包括日常生活中很少见到的图片格式,比如前面说的mvg和ps。

  这三个漏洞的具体原理网上很多文章也分析过,我这里就不再分析了,但我们思考一下:一个文件交给Imagemagick处理,他是怎么知道这是哪种格式的图片,并如何处理呢?

  显然需要一个方法来区分文件类型,而单纯用文件名后缀来判断是不合理的(文件后缀并不是构成文件名的必要米素),常规的做法就是通过文件头来判断。

  随便翻一下Imagemagick的代码,我就发现大多数文件格式的处理中,通常有一个函数,用来判断这个文件是否是对应的格式。

  比如:

  // coders/ps.c

  static MagickBooleanType IsPS(const unsigned char *magick,const size_t length)

  {

  if (length 4)

  return(MagickFalse);

  if (memcmp(magick,"%!",2)==0)

  return(MagickTrue);

  if (memcmp(magick,"\004%!",3)==0)

  return(MagickTrue);

  return(MagickFalse);

  }

  // coders/mvg.c

  static MagickBooleanType IsMVG(const unsigned char *magick,const size_t length)

  {

  if (length 20)

  return(MagickFalse);

  if (LocaleNCompare((const char *) magick,"push graphic-context",20)==0)

  return(MagickTrue);

  return(MagickFalse);

  }

  这两个函数就是判断文件是否是postscript和mvg格式。很显然,他这里是通过文件头来判断,也就是说,如果想让Imagemagick用ps的处理方法来处理图片,这个图片的前几个字节必须是%!或\004%!。

  这也很好理解,文件头的意义就是标示这个文件是什么类型的文件。

  所以,如果我们想利用Imagemagick的命令执行漏洞,必须要给他传入一个合法的mvg或ps文件,或者至少文件头要满足要求。

  0×02 深入getimagesize

  通过翻阅PHP文档,可知getimagesize支持的图片类型有:GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM,WBMP:

  

  那么这时候就犯难了,ps和mvg并不在其中。如果我们传入一个ps文件,getimagesize处理时就会失败并返回false,那么就不会执行到Imagick那里。这种方法也是当初ImageTragick漏洞出现时,很多文章推荐的缓解措施。

  似乎很安全,不过我们应该深入研究一下getimagesize究竟是如何处理图片的。

  下载php源码,ext/standard/image.c这个文件是关键,看到如下函数:

  static void php_getimagesize_from_stream(php_stream *stream, zval *info, INTERNAL_FUNCTION_PARAMETERS)

  {

  int itype=0;

  struct gfxinfo *result=NULL;

  if (!stream) {

  RETURN_FALSE;

  }

  itype=php_getimagetype(stream, NULL);

  switch( itype) {

  case IMAGE_FILETYPE_GIF:

  result=php_handle_gif(stream);

  break;

  case IMAGE_FILETYPE_JPEG:

  //...

  case ...

  可见,这里逻辑是首先用php_getimagetype(stream, NULL)来获取图片格式,然后进入一个switch语句,根据格式来分配具体的处理方法。

  看看PHP是如何获取图片格式的:

  PHPAPI int php_getimagetype(php_stream * stream, char *filetype)

  {

  char tmp[12];

  int twelve_bytes_read;

  if ( !filetype) filetype=tmp;

  if((php_stream_read(stream, filetype, 3)) !=3) {

  php_error_docref(NULL, E_NOTICE, "Read error!");

  return IMAGE_FILETYPE_UNKNOWN;

  • 发表于 2021-02-16 13:33
  • 阅读 ( 215 )
  • 分类:互联网

0 条评论

请先 登录 后评论
小许先生
小许先生

729 篇文章

你可能感兴趣的文章

相关问题