我的编程空间,编程开发者的网络收藏夹
学习永远不晚

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

这篇文章跟大家分析一下“如何进行Ghostscript SAFER沙箱绕过漏洞的分析”。内容详细易懂,对“如何进行Ghostscript SAFER沙箱绕过漏洞的分析”感兴趣的朋友可以跟着小编的思路慢慢深入来阅读一下,希望阅读后能够对大家有所帮助。下面跟着小编一起深入学习“如何进行Ghostscript SAFER沙箱绕过漏洞的分析”的知识吧。

前言

Ghostscript是一款Adobe PostScript语言的解释器软件。可对PostScript语言进行绘图,支持PS与PDF互相转换。目前大多数Linux发行版中都默认安装,并移植到了Unix、MacOS、Windows等平台,且Ghostscript还被ImagineMagic、Python PIL和各种PDF阅读器等程序所使用。

漏洞描述

8月21日,Google安全研究员Tavis Ormandy披露了多个GhostScript的漏洞,通过在图片中构造恶意PostScript脚本,可以绕过SAFER安全沙箱,从而造成命令执行、文件读取、文件删除等漏洞,其根本原因是GhostScript解析restore命令时,会暂时将参数LockSafetyParams设置为False,从而关闭SAFER模式。

受影响的系统版本

Ghostscript <= 9.23(全版本、全平台),目前官方暂未发布更新。

漏洞细节

Ghostscript安全模式(SAFER mode)

Ghostscript包含一个可选的-dSAFER选项,设置该选项启动安全沙箱模式后,与文件相关的操作符将被禁止,具体作用有如下:

(1)禁用deletefile和renamefile操作符,能够打开管道命令(%pipe%cmd),同时只能打开stdout和stderr进行写入

(2)禁用读取stdin以外的文件

(3)设置设备的LockSafetyParams参数为True,从而防止使用OutputFile参数写入文件

(4)阻止/GenericResourceDir、/FontResourceDir、/SystemParamsPassword或/StartJobPassword被更改

下面是关于该选项的一个简单演示。

未加上-dSAFER参数时,成功读取了/etc/passwd文件:

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

加上-dSAFER参数后,出现invalidfileaccess错误:

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

漏洞验证

多个PostScript操作可以绕过-dSAFER提供的保护,这可以允许攻击者使用任意参数执行命令。

首先对PoC进行测试,在开启了安全沙箱的情况下(-dSAFER),可以成功执行任意shell命令:

如何进行Ghostscript SAFER沙箱绕过漏洞的分析如何进行Ghostscript SAFER沙箱绕过漏洞的分析

使用ImageMagick工具中的convert命令测试PoC,可以看到ImageMagick同样受到影响:

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

在源码目录下使用命令“grep -r dSAFER”找到和该选项相关的操作,看到下面这段注释中说明了该选项具体功能——将LockSafetyParams设置为True。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

再使用grep查看和LockSafetyParams相关操作,通过注释可知,这个布尔类型变的量值为True时,可以防止某些不安全的操作。同时在文件psi/zdevice2.c的第269行,该变量被设置为了False,且仅有此处修改了LockSafetyParams的值为False,因此可以猜测:PoC中某条PostScript语句解析时导致了这个改变。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

调试分析

接下来使用GDB进行验证,首先设置好程序参数:

set args -q -sDEVICE=ppmraw -dSAFER -sOutputFile=/dev/null

根据前面grep的输出,找到“dev_old->LockSafetyParams = false; ”语句在函数restore_page_device()中,并在此处下断,运行程序输入PoC:

设置成像区域——legal(a4、b5、letter等也可以):

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

接着输入{null restore} stopped {pop} if,程序中断在此处: 

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

再对dev_old->LockSafetyParams变量设置观察点,继续运行程序,和预想的一样,LockSafetyParams的值在这里被改变了。 

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

查看栈回溯,发现当前函数在一系列带有“interpret”的函数中被调用,从名称推断这些函数用于解析PostScript语句。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

这里我们在#2处下断,观察到了解释器处理stopped、null、restore等关键字的过程,至此绕过SAFER沙箱过程就逐渐清晰了。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

漏洞成因

现在让我们来看看{null restore} stopped {pop} if这条语句是如何绕过SAFER沙箱的。

PostScript是一种“逆波兰式”(Reverse Polish Notation,也称为后缀表达式)的语言。简单来说就是操作数在前,操作符在后。PoC中这条语句是一条典型的PostScript异常处理语句,stopped操作符用于PostScript的异常处理,也就是说stopped执行前面的{}中给出的过程,如果解释器在执行该过程期间出现错误,它将终止该过程并执行stopped操作符之后{}中的过程。

null restore会引起类型检查错误(/typecheck error),同时restore的执行导致LockSafetyParams设置为False,stopped捕获到异常,弹出栈顶元素null,GS继续运行,但此时LockSafetyParams的值还没恢复为True。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

值得一提的是,GhostScript的官方文档中提到了restore操作符存在导致绕过SAFER模式的风险。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

漏洞利用

OutputFile参数用于设置输出文件名,另外在Linux/Unix上,还可以通过设备%pipe%将输出发送到管道(Windows中也可以,需要使用两个%)。例如,要将输出通过管道传输到lpr可以使用:/OutputFile (%pipe%lpr)

查阅官方文档可知,%pipe%功能由popen函数支持,在调试中也能确认这一点: 

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

popen()函数通过创建管道的方式,调用fork()启动一个子进程,并将传入popen()的命令送到/bin/sh以-c参数执行。可以通过在此处注入命令实现漏洞利用,如下图中演示的那样,另外将PostScript编码到图像中,可以在使用GhostScript的Web服务器上执行任意指令(例如服务器使用ImageMagick处理上传的图像时)。

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

修复建议

截至笔者分析该漏洞时,官方还没修复该漏洞。Artifex Software,ImageMagick,Redhat,Ubuntu等厂商已声明受到此漏洞影响,其他平台暂时未对此漏洞进行说明,目前临时解决方案如下:

卸载GhostScript;

可在/etc/ImageMagick/policy.xml文件中添加如下代码来禁用PostScript、EPS、PDF以及XPS解码器:

<policy domain =“coder”rights =“none”pattern =“PS”/><policy domain =“coder”rights =“none”pattern =“EPS”/><policy domain =“coder”rights =“none”pattern =“PDF”/><policy domain =“coder”rights =“none”pattern =“XPS”/>

关于如何进行Ghostscript SAFER沙箱绕过漏洞的分析就分享到这里啦,希望上述内容能够让大家有所提升。如果想要学习更多知识,请大家多多留意小编的更新。谢谢大家关注一下编程网网站!

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

如何进行Ghostscript SAFER沙箱绕过漏洞的分析

这篇文章跟大家分析一下“如何进行Ghostscript SAFER沙箱绕过漏洞的分析”。内容详细易懂,对“如何进行Ghostscript SAFER沙箱绕过漏洞的分析”感兴趣的朋友可以跟着小编的思路慢慢深入来阅读一下,希望阅读后能够对大家有
2023-06-04

ghostscript沙箱绕过远程命令执行漏洞的示例分析

这篇文章将为大家详细讲解有关ghostscript沙箱绕过远程命令执行漏洞的示例分析,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。0x00 漏洞背景11月21号,Semmle团队的安全研究员Man Yue
2023-06-19

如何进行CouchDB漏洞的分析

今天就跟大家聊聊有关如何进行CouchDB漏洞的分析,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。0x00 文档信息 Apache CouchDB是一个开源数据库,专注
2023-06-19

如何进行Intel CSME 漏洞预警的分析

本篇文章为大家展示了如何进行Intel CSME 漏洞预警的分析,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。0x00 漏洞背景英特尔公布:在英特尔 CSME,英特尔服务器平台服务和英特尔可信执行引
2023-06-19

如何进行EFAIL中的PGP/GPG和S/MIME漏洞分析

如何进行EFAIL中的PGP/GPG和S/MIME漏洞分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。0x00 漏洞背景PGP/GPG 和 S/MIME是为电子邮件提供端
2023-06-19

如何进行Drupal核心远程代码执行漏洞的分析

今天就跟大家聊聊有关如何进行Drupal核心远程代码执行漏洞的分析,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。0x01 漏洞概述Drupal是一款开源的内容管理系统,使用php语言
2023-06-19

如何进行Microsoft Office内存损坏漏洞CVE–2017–11882的分析

如何进行Microsoft Office内存损坏漏洞CVE–2017–11882的分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。 2017年11月,微软在
2023-06-19

如何进行Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)的分析

如何进行Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)的分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。Lif
2023-06-04

编程热搜

  • Python 学习之路 - Python
    一、安装Python34Windows在Python官网(https://www.python.org/downloads/)下载安装包并安装。Python的默认安装路径是:C:\Python34配置环境变量:【右键计算机】--》【属性】-
    Python 学习之路 - Python
  • chatgpt的中文全称是什么
    chatgpt的中文全称是生成型预训练变换模型。ChatGPT是什么ChatGPT是美国人工智能研究实验室OpenAI开发的一种全新聊天机器人模型,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,并协助人类完成一系列
    chatgpt的中文全称是什么
  • C/C++中extern函数使用详解
  • C/C++可变参数的使用
    可变参数的使用方法远远不止以下几种,不过在C,C++中使用可变参数时要小心,在使用printf()等函数时传入的参数个数一定不能比前面的格式化字符串中的’%’符号个数少,否则会产生访问越界,运气不好的话还会导致程序崩溃
    C/C++可变参数的使用
  • css样式文件该放在哪里
  • php中数组下标必须是连续的吗
  • Python 3 教程
    Python 3 教程 Python 的 3.0 版本,常被称为 Python 3000,或简称 Py3k。相对于 Python 的早期版本,这是一个较大的升级。为了不带入过多的累赘,Python 3.0 在设计的时候没有考虑向下兼容。 Python
    Python 3 教程
  • Python pip包管理
    一、前言    在Python中, 安装第三方模块是通过 setuptools 这个工具完成的。 Python有两个封装了 setuptools的包管理工具: easy_install  和  pip , 目前官方推荐使用 pip。    
    Python pip包管理
  • ubuntu如何重新编译内核
  • 改善Java代码之慎用java动态编译

目录