51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

利用ImageMagick命令执行漏洞拿下Facebook四万美元奖金

作者:pwn_361
安全 漏洞
本文主要讲解利用ImageMagick命令执行漏洞拿下Facebook的过程。

HACKED

前言

我相信很多人都知道ImageMagick和它存在的漏洞,这个漏洞发现于2016年四月底,同时,由于许多插件都依赖于这个ImageMagick库,因此,这个漏洞的影响范围很大。有证据表明,关于这个漏洞的信息,发现它的研究人员是知道的,ImageMagick开发团队的人也知道,但是,糟糕的是,一些其它的人(坏人)也知道了这个漏洞,在2016年5月3日,在互联网上发现了这个漏洞的POC。许多研究人员发现了这个问题,而且应用程序还没有及时更新。但由于一些未知的原因,我不在其中,但这是在5月份。

漏洞分析

直到十月的一个星期六,我对一些大的服务(不是Facebook)进行了测试,当时一些重定向让我关注到了Facebook。这是一个《分享到Facebook》对话框:

Facebook

链接是:

https://www.facebook.com/dialog/feedapp_id=APP_ID&link=link.example.tld&picture=http%3A%2F%2Fattacker.tld%2Fexploit.png&name=news_name&caption=news_caption&description=news_descriotion&redirect_uri=http%3A%2F%2Fwww.facebook.com&ext=1476569763&hash=Aebid3vZFdh4UF1H

大家可以看到,如果我们仔细看,我们可以看到在URL中有一个“picture”参数。但是在上面提到的页面内容中,这并不是图片URL,例如:

http://p3.qhimg.com/t01c5c8f06e58a03034.png

https://www.google.com/images/errors/robot.png

变成了:

在URL中有一个“picture”参数

https://external.fhen11.fna.fbcdn.net/safe_image.phpd=AQDaeWq2Fn1Ujs4P&w=158&h=158&url=https%3A%2F%2Fwww.google.com%2Fimages%2Ferrors%2Frobot.png&cfs=1&upscale=1&_nc_hash=AQD2uvqIgAdXgWyb

我首先考虑到了一些关于SSRF的问题。但是测试显示,这个URL中的参数请求来自于31.13.97.*网络,通过“facebookexternalhit/1.1”参数,如下:

“facebookexternalhit/1.1”参数

它看起来像独立服务器的正常请求。我开始深入挖掘。在对这个参数进行一些测试后,我很失望,没有一个成功,ImageTragick是最后一点希望。如果你不熟悉这个问题或有点懒惰,这里有一POC链接。下面是一个简单的exploit.png载荷:

exploit.png载荷

但是当我监听端口时,什么也没发现:

http://p9.qhimg.com/t01de442ee681f83b90.png

不过,如果有一些防火墙限制呢?-我问我自己。

好吧,通常一些公司会过滤正常的请求,但是不会过滤DNS,让我们再试一个载荷:

载荷

结果是:

载荷

这个IP是谁的呢?看下图:

http://p7.qhimg.com/t01ec9e43f54cab53b4.png

成功了!

让我们总结一下,应用程序的工作流程是:

获得“picture”参数,并向它发出请求,这个请求是正常的,没有漏洞。

收到一个图片,这个图片经过了converter的转换,而它使用了有漏洞的ImageMagick库。

说实话,我试图找到一个通用的方法来利用这个HTTP请求,但是经过简短的测试后,我发现所有向外的端口都被关闭了,我花了很长的时间去找一个能打开的,没有成功,我需要找到另一种能让POC有效的方法。

载荷:

载荷

回应是:

载荷回应

下面是“id”返回的信息:

“id”返回的信息

为了充分证明存在这个漏洞,我给Facebook安全团队提供了“cat/proc/version”的结果,在这里我就不公布它的结果了。

根据Facebook负责任的漏洞披露政策,我没有进行更深的研究。

我和Facebook安全团队的Neal研究员讨论了最初的报告,“cat/proc/version | base64”可能更好,同时,一些更深层次的研究表明,“base32”在包括DNS隧道的各种技术中是比较常用的(请看:https://www.sans.org/reading-room/whitepapers/dns/detecting-dns-tunneling-34152)。

我很高兴成为攻破Facebook的人之一。

时间线

  • 16 Oct 2016, 03:31 am: 初始报告;
  • 18 Oct 2016, 05:35 pm: Neal向我要使用的POC;
  • 18 Oct 2016, 08:40 pm: 我发送了一个POC并提供了额外的信息;
  • 18 Oct 2016, 10:31 pm: Neal确认了漏洞;
  • 19 Oct 2016, 12:26 am: Neal说正在修复漏洞;
  • 19 Oct 2016, 02:28 am: Neal通知我说漏洞已经修复;
  • 19 Oct 2016, 07:49 am: 我回答说,确认漏洞修补,并要求披露时间表;
  • 22 Oct 2016, 03:34 am: 尼尔回答披露时间表;
  • 28 Oct 2016, 03:04 pm: 4万美元的奖励发放;
  • 16 Dec 2016: 披露批准;
责任编辑:赵宁宁 来源: 安全客
ImageMagick漏洞Facebook
相关推荐
ImageMagick远程执行漏洞分析及利用
ImageMagick是一套功能强大、稳定而且开源的工具集和开发包,可以用来读、写和处理超过89种基本格式的图片文件,包括流行的TIFF、JPEG、GIF、PNG、PDF以及PhotoCD等格式。

2016-09-29 14:37:39

ImageMagick漏洞分析
黑客斥资百万美元购买0 day漏洞利用
黑客斥资百万美元在网络犯罪论坛购买0day漏洞利用。有名为integra的黑客在网络犯罪论坛预存了26.99比特币,并声称这笔存款是用来从论坛成员处购买0day漏洞利用的。

2021-07-15 10:17:14

黑客漏洞网络犯罪论
Facebook本月举行“黑客杯”:奖金5000美元
北京时间1月5日上午消息,据美国科技博客网站TechCrunch报道,Facebook已宣布将在今年1月举办2012年“黑客杯”(HackerCup)全球计算机程序设计竞赛。Facebook将这次竞赛作为一个重要的人才招募平台,用以吸引优秀的程序设计人员加盟。

2012-01-05 15:31:54

Zimperium砸150万美元搜罗移动N日漏洞利用
Zimperium启动漏洞利用收购项目,目标为iOS和安卓N日漏洞,对零日漏洞毫无兴趣。

2017-02-07 18:35:20

微软员工利用漏洞盗取超千万美元Xbox礼品卡
外媒WindowsCentral报道了一则关于微软员工利用漏洞非法获利的消息。一名工程师被微软雇来测试电子商务系统,利用系统中的一个漏洞,该工程师能够通过测试中的方法订购到Xbox电子礼品卡。

2021-07-02 13:59:13

漏洞Xbox礼品卡微软
重奖乍现Silverlight开发大赛 奖金达1万美元
近日,据ComponentArt公司网站信息表示:将举办2009夏季Silverlight开发大赛,奖金高达10000美元。

2009-07-03 14:58:32

Silverlight
Facebook斥资6000万美元收购Meta商标资产
社交媒体网站Facebook的所有者Meta&8194;Platforms的发言人周一表示,该公司正以6000万美元收购美国地区银行Meta&8194;Financial&8194;Group的商标资产。

2021-12-14 11:03:32

Facebook收购Meta
谷歌推出首个针对安卓企业版漏洞赏金计划,奖金高达25万美元
最新消息,谷歌推出首个安卓企业版漏洞赏金计划,用来奖励安卓企业版本在Pixel设备上的运行漏洞,最高奖励金额达25万美元。

2021-10-22 12:48:40

漏洞网络安全网络攻击
Facebook计划投资5000万美元用于构建元宇宙
据外媒报道,Facebook日前宣布,该公司计划投资5000万美元用于一个项目,该公司表示,该项目将使其及其合作伙伴构建一个元宇宙。

2021-10-18 14:31:22

Facebook元宇宙虚拟环境
奖金最高15000美元!微软宣布Bing AI漏洞赏金计划
微软人工智能赏金计划邀请来自全球的安全研究人员发现新的、创新的、人工智能驱动的Bing体验中的漏洞,合格的参赛作品将有资格获得2000至15000美元的赏金。

2023-10-13 12:20:32

漏洞赏金漏洞
Pwn2Own 大会落幕,三星多次被攻破,苹果和谷歌躲过一劫
参赛团队在为期3天的比赛时间里,针对消费类产品进行了58次零日漏洞利用(以及多次漏洞碰撞),共获得了103.85万美元的奖金。

2023-10-30 16:31:22

黑客利用OpenSea漏洞窃取并转卖价值100万美元的NFT内容
NFT市场OpenSea的一个漏洞被利用,黑客以远低于市场价值的价格购买NFT。

2022-01-25 09:17:44

黑客漏洞网络攻击
左手倒右手,黑客利用漏洞盗窃3100万美元加密货币,方式简单粗暴
就在近日,区块链初创公司MonoXFinance表示,一名黑客通过用于起草“智能合约”的软件漏洞,窃取了3100万美元。

2021-12-03 09:29:36

黑客漏洞加密货币
Compuware为大型机客户成本节省设百万美元奖金
CompuwareCorporation(NASDAQ:CPWR)宣布针对大型机解决方案客户推出有奖成本节省活动。在该动态性活动项目中,Compuware的大型机客户将能够接受免费的成本节省评估,获得未来大型机运营成本节省的规划蓝图,以及赢取一百万美元大奖的机会。

2009-12-10 16:25:10

Compuware大型机成本
漏洞赏金平台Bugcrowd融资3000万美元
近日,漏洞赏金平台Bugcrowd在由RallyVentures牵头的D轮融资中募集了3000万美元。

2020-04-16 11:01:09

漏洞网络安全网络攻击
漏洞5万美元一个贵不贵?
Zoom最近将其众包安全项目发放的漏洞赏金单价提升到了最高5万美元。高额赏金登上媒体头条,吸引安全人才纷纷投入挖洞领赏事业,但也提出了一个问题:漏洞到底值多少钱

2021-03-15 09:50:01

漏洞网络安全网络攻击
送出670万美元 谷歌漏洞奖励计划公布
近日,谷歌表示,2020年为全世界62个地区的662名安全研究者提供670万美元的漏洞发现奖励。

2021-02-07 00:05:27

谷歌漏洞网络安全
黑客50万美元出售Zoom 0 day漏洞
近日,又有黑客在暗网出售影响ZoomWindows客户端的0day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个ZoommacOS客户端的漏洞滥用代码。

2020-04-17 10:07:06

漏洞Zoom黑客50
2022 年,谷歌向安全研究人员支付 1200 万美元漏洞赏金
谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金,为安全研究人员报告的2900多个漏洞,支付超1200万美元。

2023-02-23 18:25:24

漏洞赏金漏洞
Pwn2Own Automotive 2024 大赛上,研究人员又一次侵入了特斯拉
大会第一天,Synacktiv团队成功利用三个零日漏洞获得了特斯拉调制解调器的root权限,此举助力其获得了10万美元奖金。

2024-01-25 16:03:24

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服