Server Side XSS (Dynamic PDF)
Server Side XSS (Dynamic PDF)
Se uma página da web estiver criando um PDF usando entrada controlada pelo usuário, você pode tentar enganar o bot que está criando o PDF para executar código JS arbitrário. Assim, se o bot criador de PDF encontrar algum tipo de tags HTML, ele vai interpretá-las, e você pode abusar desse comportamento para causar um Server XSS.
Por favor, note que as tags <script></script>
não funcionam sempre, então você precisará de um método diferente para executar JS (por exemplo, abusando de <img
).
Além disso, note que em uma exploração regular você será capaz de ver/baixar o PDF criado, então você poderá ver tudo que você escreve via JS (usando document.write()
por exemplo). Mas, se você não puder ver o PDF criado, provavelmente precisará extrair a informação fazendo requisições web para você (Blind).
Geração de PDF popular
wkhtmltopdf é conhecido por sua capacidade de converter HTML e CSS em documentos PDF, utilizando o motor de renderização WebKit. Esta ferramenta está disponível como uma utilidade de linha de comando de código aberto, tornando-a acessível para uma ampla gama de aplicações.
TCPDF oferece uma solução robusta dentro do ecossistema PHP para geração de PDF. É capaz de lidar com imagens, gráficos e criptografia, demonstrando sua versatilidade para criar documentos complexos.
Para aqueles que trabalham em um ambiente Node.js, PDFKit apresenta uma opção viável. Ele permite a geração de documentos PDF diretamente de HTML e CSS, fornecendo uma ponte entre conteúdo web e formatos imprimíveis.
Desenvolvedores Java podem preferir iText, uma biblioteca que não apenas facilita a criação de PDF, mas também suporta recursos avançados como assinaturas digitais e preenchimento de formulários. Seu conjunto abrangente de recursos a torna adequada para gerar documentos seguros e interativos.
FPDF é outra biblioteca PHP, distinguida por sua simplicidade e facilidade de uso. É projetada para desenvolvedores que buscam uma abordagem direta para a geração de PDF, sem a necessidade de recursos extensivos.
Payloads
Discovery
SVG
Qualquer um dos payloads anteriores ou seguintes pode ser usado dentro deste payload SVG. Um iframe acessando o subdomínio Burpcollab e outro acessando o endpoint de metadados são apresentados como exemplos.
Você pode encontrar muitos outros payloads SVG em https://github.com/allanlw/svg-cheatsheet
Divulgação de caminho
Carregar um script externo
A melhor maneira de explorar essa vulnerabilidade é abusar dela para fazer o bot carregar um script que você controla localmente. Assim, você poderá alterar a carga útil localmente e fazer o bot carregá-la com o mesmo código toda vez.
Ler arquivo local / SSRF
Altere file:///etc/passwd
para http://169.254.169.254/latest/user-data
por exemplo para tentar acessar uma página da web externa (SSRF).
Se SSRF for permitido, mas você não conseguir acessar um domínio ou IP interessante, verifique esta página para possíveis contornos.
Atraso do bot
Varredura de Portas
Essa vulnerabilidade pode ser transformada muito facilmente em um SSRF (já que você pode fazer o script carregar recursos externos). Então, apenas tente explorá-la (ler alguns metadados?).
Anexos: PD4ML
Existem alguns motores de HTML para PDF que permitem especificar anexos para o PDF, como PD4ML. Você pode abusar dessa funcionalidade para anexar qualquer arquivo local ao PDF. Para abrir o anexo, eu abri o arquivo com Firefox e cliquei duas vezes no símbolo do clipe de papel para armazenar o anexo como um novo arquivo. Capturar a resposta PDF com burp também deve mostrar o anexo em texto claro dentro do PDF.
Referências
Last updated