Ghostscript 沙箱破坏漏洞(CVE-2020-15900)分析与利用<\/h1>

漏洞概述<\/h2>
CVE-2020-15900是Artifex Ghostscript引擎中的一个沙箱破坏漏洞，允许攻击者绕过安全限制执行任意代码。该漏洞存在于Ghostscript v9.50至v9.52版本中，通过特殊的Postscript运算符`rsearch<\/code>触发缓冲区长度计算错误，导致内存破坏。<\/p>`

技术背景<\/h2>
Ghostscript简介<\/h3>
Ghostscript是Artifex软件公司开发的Postscript和PDF渲染引擎，用于将PDF和Postscript脚本转换为图像。作为唯一开源的Postscript渲染引擎，它被广泛用于PDF查看器和云计算服务中。<\/p>
Postscript语言特性<\/h3>
Postscript是一种基于堆栈的语言，具有以下特点：<\/p>

采用"先进后出"的堆栈结构<\/li>
支持复杂逻辑运算和绘图操作<\/li>
示例代码：
1<\/span> 2<\/span> add<\/span>  % 将1和2相加
<\/span><\/span><\/span><\/span>100<\/span> 500<\/span> 100<\/span> 0<\/span> 360<\/span> arc<\/span> closepath<\/span> stroke<\/span>  % 绘制一个圆
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
Postscript沙箱机制<\/h3>
Ghostscript的沙箱机制(--SAFER<\/code>选项)旨在防止：<\/p>

任意命令执行(如%pipe%id<\/code>)<\/li>
未经授权的文件读写<\/li>
通过路径控制沙箱锁定文件操作到指定目录<\/li>
<\/ul>
漏洞分析<\/h2>
漏洞发现<\/h3>
通过模糊测试(AFL)发现，当使用rsearch<\/code>运算符在空字符串中搜索空字符串时：<\/p>
()<\/span> dup<\/span> rsearch<\/span>
<\/span><\/span><\/code><\/pre>会导致缓冲区下溢，产生一个约4GB的"字符串类型"引用。<\/p>
根本原因<\/h3>
rsearch<\/code>运算符未正确处理空字符串搜索的边界情况：<\/p>

搜索空字符串被逻辑运算为永真<\/li>
计算"匹配后的值"长度时从0减去1，导致整数下溢(最大值-4294967295)<\/li>
产生一个超大字符串引用，可覆盖堆内存<\/li>
<\/ol>
内存操作原语<\/h3>
通过以下Postscript代码可获取内存操作能力：<\/p>
\/memptr ()<\/span> dup<\/span> rsearch<\/span> pop<\/span> pop<\/span> pop<\/span> def<\/span>
<\/span><\/span><\/code><\/pre>读写内存操作：<\/p>
memptr<\/span> 123<\/span> get<\/span>  % 读取偏移123的字节
<\/span><\/span><\/span><\/span>memptr<\/span> 123<\/span> 0<\/span> put<\/span>  % 在偏移123处写入0
<\/span><\/span><\/span><\/code><\/pre>利用技术<\/h3>


ref_t结构操作<\/strong>：<\/p>

ref_t占用128位(16字节)<\/li>
包含类型、长度字段和值\/指针<\/li>
通过修改ref_t可以改变对象类型和行为<\/li>
<\/ul>
<\/li>

沙箱绕过<\/strong>：<\/p>

定位gs_activate_path_control<\/code>函数<\/li>
修改path_control_active<\/code>标志为0<\/li>
需要遍历以下指针链：
dict -> memory -> gs_lib_ctx -> core -> path_control_active
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

偏移量计算<\/strong>：<\/p>

不同平台偏移量不同<\/li>
通过反编译(如Ghidra)确定具体偏移<\/li>
示例偏移(Windows x64):

memory结构: +0xd0<\/li>
gs_lib_ctx: +0x8<\/li>
core: +0x88<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>


创建超大字符串引用：<\/p>
\/memptr ()<\/span> dup<\/span> rsearch<\/span> pop<\/span> pop<\/span> pop<\/span> def<\/span>
<\/span><\/span><\/code><\/pre><\/li>

搜索并修改ref_t结构：<\/p>

创建可识别数字模式<\/li>
搜索堆内存匹配ref_t结构<\/li>
修改类型位转换为字符串类型<\/li>
<\/ul>
<\/li>

遍历指针链：<\/p>

从字典获取memory指针<\/li>
通过计算偏移找到path_control_active<\/li>
修改该标志为0禁用沙箱<\/li>
<\/ul>
<\/li>

执行任意操作：<\/p>

文件读写<\/li>
系统命令执行<\/li>
其他内存破坏技术<\/li>
<\/ul>
<\/li>
<\/ol>
影响与缓解<\/h2>
影响范围<\/h3>

Ghostscript v9.50至v9.52版本<\/li>
所有使用受影响版本Ghostscript的系统<\/li>
<\/ul>
防护建议<\/h3>

升级到修复版本<\/li>
不要在处理不受信任文件时使用Ghostscript<\/li>
使用额外隔离措施：

低特权账户运行<\/li>
应用沙箱<\/li>
独立主机环境<\/li>
<\/ul>
<\/li>
<\/ol>
结论<\/h2>
CVE-2020-15900展示了即使有沙箱保护，Postscript渲染过程仍存在重大攻击面。该漏洞通过内存破坏技术可靠地绕过沙箱限制，强调了对Ghostscript等复杂解析器实施深度防御的必要性。建议用户采取多层次防护措施，而不仅依赖内置沙箱机制。<\/p>

Ghostscript 沙箱破坏漏洞(CVE-2020-15900)分析与利用<\/h1>

Ghostscript简介<\/h3> Ghostscript是Artifex软件公司开发的Postscript和PDF渲染引擎，用于将PDF和Postscript脚本转换为图像。作为唯一开源的Postscript渲染引擎，它被广泛用于PDF查看器和云计算服务中。<\/p>

漏洞分析<\/h2>

影响与缓解<\/h2>

Ghostscript简介<\/h3>
Ghostscript是Artifex软件公司开发的Postscript和PDF渲染引擎，用于将PDF和Postscript脚本转换为图像。作为唯一开源的Postscript渲染引擎，它被广泛用于PDF查看器和云计算服务中。<\/p>