一个5K RMB奖励的SRC漏洞

在挖一些SRC漏洞的时候需要时刻保持敏感的状态，特别是在企业上线新业务，或者一些新漏洞爆发的时候，这些新漏洞可能是官方都未提供补丁的0day，或者刚被公布细节的1day等。

早上到公司的时候，看到360 cert发了个漏洞预警 https://cert.360.cn/warning/detail?id=154bd8345f9cd560ea1c0e5bf453a41d

看到这里，不禁想起了ImageMagick漏洞（CVE-2016-3714）带来的影响性，当前连baidu主站都惨遭被RCE的恶运。

简单看一下该漏洞的详情

漏洞简介 8 月 21 号，Tavis Ormandy 通过公开邮件列表（hxxps://bugs.chromium[.]org/p/project-zero/issues/detail?id=1640），再次指出 ghostscript 的安全沙箱可以被绕过，通过构造恶意的图片内容，可造成命令执行。ghostscript应用广泛，ImageMagick、python-matplotlib、libmagick 等图像处理应用均有引用。在ghostscript中由于以往的安全事件，针对安全问题gs官方采用增加参数-dSAFER来开启安全沙箱，但该沙箱在程序执行过程中由LockSafetyParams这个值进行控制，此次Taviso发现通过restore操作会将该值成功覆盖，导致安全沙箱被绕过，引发命令执行漏洞。

漏洞影响 version <= 9.23（全版本、全平台）官方未出缓解措施，最新版本受到影响。漏洞导致所有引用ghostscript的上游应用收到影响。常见应用如下：

• imagemagick
• libmagick
• graphicsmagick
• gimp
• python-matplotlib
• texlive-core
• texmacs
• latex2html
• latex2rtf

关于漏洞详情就不介绍了，在上面链接中 ，360 cert甚至已经给出了具体的利用exp 。 由于官方并没有给出该漏洞的升级补丁，所以该漏洞算得上一个0day了。

本地复现该漏洞并证实了命令执行的可能性后，立马找了一些SRC的站点来进行测试。

过程还算顺利，到下午晚饭前，就已经成功的找到好几处存在漏洞的业务站点，这里就举例说明其中一个漏洞的情况吧。

当时验证漏洞是利用了dnslog进行数据外带来进行测试的，在发现漏洞后，执行了个反弹shell的操作，然后就把利用过程的详细信息提交了他们SRC。

在提交SRC后，没一会就收到了他们的反馈邮件信息。

在和SRC沟通了该漏洞的一些详细细节以及修复方式后，他们为这单个漏洞也奖励了我5000 rmb ，也算非常厚道了。

总结：

1. 在一些新漏洞爆发时，如果赶在SRC业务方修复该漏洞前进行测试利用，很有可能会带给你惊喜
2. 提前收集好SRC的资产信息，在新漏洞出来时，会大大增加你漏洞挖掘的速度和效率
3. 需要在日常提升自己进行批量化漏洞挖掘的能力，例如批量化漏洞检测脚本的编写能力等

推荐阅读：

运气也是实力的一部分&对某学校平台的一卡通系统渗透测试

https://www.daoblogs.org/post-29.html

作者：mayoterry

参考来源:http://mayoterry.com/index.php/archives/31/

如有侵权，请联系删除