CVE-2017-8291漏洞分析与利用详解

漏洞概述

CVE-2017-8291是一个Ghostscript中的类型混淆漏洞，存在于PostScript解释器中。该漏洞允许攻击者通过精心构造的PostScript文件绕过安全限制，最终实现远程代码执行(RCE)。这个漏洞特别有趣的地方在于它不需要构造ROP链，也不需要考虑ASLR等现代防护机制，使得即使只具备Web安全背景的研究人员也能理解其原理。

背景知识

PostScript与Ghostscript

PostScript(PS)是一种页面描述语言和编程语言，主要用于电子出版和桌面出版领域。Ghostscript(GS)是一个PostScript解释器，能够解释执行PostScript代码。

PS主要通过操作数栈(OS)来进行操作：

栈顶记作osp
栈底记作osbot
基本语法：操作数1 ... 操作数n 指令

GS解释PS指令时：

从左到右操作数依次入栈
遇到指令从栈上取相应数量的操作数

关键PS指令

POC中涉及的重要指令：

def：定义变量
sub：减法
exch：交换栈顶两个元素
get：从数组中获取元素
put：向数组中存储元素
for：循环控制
aload：将数组内容加载到栈上

漏洞分析

漏洞原理

漏洞的核心在于.eqproc指令的边界检查缺失。.eqproc指令本应从栈上取两个操作数进行比较，结果布尔值存入栈中（取2存1）。但当栈上操作数不足时（如只有1个操作数），它不做边界检查，仍然执行取2存1操作，导致栈溢出。

利用过程详解

初始化阶段
- 定义循环参数：from=500, step=500, to=65000, enlarge=1000
- 创建111个缓冲区(buffercount=111)
- 每个缓冲区大小从10000递增到65000(buffersizes数组)
- 初始化每个缓冲区为全'f'的字符串(buffers数组)
内存布局操纵
- 执行aload enlarge 1 add：一次性入栈1001个单位，超出当前OS大小限制
- 系统重新分配OS内存，新OS位于字符串存储区附近
- 通过反复执行.eqproc导致栈溢出，重写缓冲区字符串的最后16字节
类型混淆攻击
- 利用溢出修改currentdevice的类型信息
- 将currentdevice从设备类型改为字符串类型
- 修改LockSafetyParams安全属性从true变为false
- 具体通过以下操作实现：
```
16#7e put
16#12 put
16#ff put
```
安全限制绕过
- 修改currentdevice后，可以自由修改其内容
- 关键偏移修改：
  - 0x3e8置0
  - 0x3b0置0
  - 0x3f0置0
最终利用
- 通过修改后的设备执行任意命令
- 在控制台输出"vulnerable"作为验证

技术细节

关键数值选择

POC中选择的数值有其特殊考虑：

500, 10000, 65000, 1000：这些数值经过精心选择以确保：
- 足够大的缓冲区触发内存重新分配
- 精确控制溢出位置
- 确保类型混淆成功

内存布局图示

初始OS布局：
+-------------------+
| 操作数栈(OS)      |
+-------------------+
| 字符串存储区      |
| buffers[0]        |
| ...               |
| buffers[7]        | ← 新OS通常会分配在这个区域附近
| buffers[8]        |
| ...               |
| buffers[110]      |
+-------------------+

执行aload后OS移动到字符串存储区中，为后续溢出创造条件。

溢出利用图示

栈溢出过程：
1. 初始栈状态：[A]
2. 执行.eqproc (需要2个操作数，但只有1个)
3. 从栈取A和栈外数据B
4. 比较A和B
5. 结果存入栈：[result]
6. 副作用：覆盖了相邻内存区域

防御与修复

漏洞修复主要针对.eqproc指令：

添加边界检查
确保操作数足够才执行比较
防止类型混淆攻击

利用场景

该漏洞可通过以下方式利用：

上传恶意EPS文件到支持Ghostscript解析的服务
通过电子邮件发送恶意PS文件
嵌入到PDF文档中利用

参考资源

分析文章：https://paper.seebug.org/310/
POC参考：https://raw.githubusercontent.com/rapid7/metasploit-framework/master/data/exploits/CVE-2017-8291/msf.eps
利用场景：http://blog.neargle.com/2017/09/28/Exploiting-Python-PIL-Module-Command-Execution-Vulnerability/

总结

CVE-2017-8291展示了类型混淆漏洞如何被利用来实现RCE。通过精心控制内存布局和利用边界检查缺失，攻击者能够绕过安全限制执行任意代码。理解这个漏洞需要对PostScript和Ghostscript的内部工作原理有深入了解，同时也展示了软件安全中边界检查的重要性。

CVE-2017-8291漏洞分析与利用详解漏洞概述 CVE-2017-8291是一个Ghostscript中的类型混淆漏洞，存在于PostScript解释器中。该漏洞允许攻击者通过精心构造的PostScript文件绕过安全限制，最终实现远程代码执行(RCE)。这个漏洞特别有趣的地方在于它不需要构造ROP链，也不需要考虑ASLR等现代防护机制，使得即使只具备Web安全背景的研究人员也能理解其原理。背景知识 PostScript与Ghostscript PostScript(PS)是一种页面描述语言和编程语言，主要用于电子出版和桌面出版领域。Ghostscript(GS)是一个PostScript解释器，能够解释执行PostScript代码。 PS主要通过操作数栈(OS)来进行操作：栈顶记作osp 栈底记作osbot 基本语法：操作数1 ... 操作数n 指令 GS解释PS指令时：从左到右操作数依次入栈遇到指令从栈上取相应数量的操作数关键PS指令 POC中涉及的重要指令： def ：定义变量 sub ：减法 exch ：交换栈顶两个元素 get ：从数组中获取元素 put ：向数组中存储元素 for ：循环控制 aload ：将数组内容加载到栈上漏洞分析漏洞原理漏洞的核心在于 .eqproc 指令的边界检查缺失。 .eqproc 指令本应从栈上取两个操作数进行比较，结果布尔值存入栈中（取2存1）。但当栈上操作数不足时（如只有1个操作数），它不做边界检查，仍然执行取2存1操作，导致栈溢出。利用过程详解初始化阶段定义循环参数： from=500 , step=500 , to=65000 , enlarge=1000 创建111个缓冲区( buffercount=111 ) 每个缓冲区大小从10000递增到65000( buffersizes 数组) 初始化每个缓冲区为全'f'的字符串( buffers 数组) 内存布局操纵执行 aload enlarge 1 add ：一次性入栈1001个单位，超出当前OS大小限制系统重新分配OS内存，新OS位于字符串存储区附近通过反复执行 .eqproc 导致栈溢出，重写缓冲区字符串的最后16字节类型混淆攻击利用溢出修改 currentdevice 的类型信息将 currentdevice 从设备类型改为字符串类型修改 LockSafetyParams 安全属性从true变为false 具体通过以下操作实现：安全限制绕过修改 currentdevice 后，可以自由修改其内容关键偏移修改： 0x3e8置0 0x3b0置0 0x3f0置0 最终利用通过修改后的设备执行任意命令在控制台输出"vulnerable"作为验证技术细节关键数值选择 POC中选择的数值有其特殊考虑： 500, 10000, 65000, 1000 ：这些数值经过精心选择以确保：足够大的缓冲区触发内存重新分配精确控制溢出位置确保类型混淆成功内存布局图示执行 aload 后OS移动到字符串存储区中，为后续溢出创造条件。溢出利用图示防御与修复漏洞修复主要针对 .eqproc 指令：添加边界检查确保操作数足够才执行比较防止类型混淆攻击利用场景该漏洞可通过以下方式利用：上传恶意EPS文件到支持Ghostscript解析的服务通过电子邮件发送恶意PS文件嵌入到PDF文档中利用参考资源分析文章： https://paper.seebug.org/310/ POC参考： https://raw.githubusercontent.com/rapid7/metasploit-framework/master/data/exploits/CVE-2017-8291/msf.eps 利用场景： http://blog.neargle.com/2017/09/28/Exploiting-Python-PIL-Module-Command-Execution-Vulnerability/ 总结 CVE-2017-8291展示了类型混淆漏洞如何被利用来实现RCE。通过精心控制内存布局和利用边界检查缺失，攻击者能够绕过安全限制执行任意代码。理解这个漏洞需要对PostScript和Ghostscript的内部工作原理有深入了解，同时也展示了软件安全中边界检查的重要性。