Server Side XSS (Dynamic PDF)
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Se uma página da web está criando um PDF usando entrada controlada pelo usuário, você pode tentar enganar o bot que está criando o PDF para executar código JS arbitrário. Assim, se o bot criador de PDF encontrar algum tipo de tags HTML, ele vai interpretá-las, e você pode abusar desse comportamento para causar um Server XSS.
Por favor, note que as tags <script></script>
não funcionam sempre, então você precisará de um método diferente para executar JS (por exemplo, abusando de <img
).
Além disso, note que em uma exploração regular você será capaz de ver/baixar o PDF criado, então você poderá ver tudo que você escreve via JS (usando document.write()
por exemplo). Mas, se você não puder ver o PDF criado, provavelmente precisará extrair a informação fazendo requisições web para você (Blind).
wkhtmltopdf é conhecido por sua capacidade de converter HTML e CSS em documentos PDF, utilizando o motor de renderização WebKit. Esta ferramenta está disponível como uma utilidade de linha de comando de código aberto, tornando-a acessível para uma ampla gama de aplicações.
TCPDF oferece uma solução robusta dentro do ecossistema PHP para geração de PDF. É capaz de lidar com imagens, gráficos e criptografia, mostrando sua versatilidade para criar documentos complexos.
Para aqueles que trabalham em um ambiente Node.js, PDFKit apresenta uma opção viável. Ele permite a geração de documentos PDF diretamente de HTML e CSS, fornecendo uma ponte entre conteúdo web e formatos imprimíveis.
Desenvolvedores Java podem preferir iText, uma biblioteca que não apenas facilita a criação de PDF, mas também suporta recursos avançados como assinaturas digitais e preenchimento de formulários. Seu conjunto abrangente de recursos a torna adequada para gerar documentos seguros e interativos.
FPDF é outra biblioteca PHP, distinguida por sua simplicidade e facilidade de uso. É projetada para desenvolvedores que buscam uma abordagem direta para a geração de PDF, sem a necessidade de recursos extensivos.
Qualquer um dos payloads anteriores ou seguintes pode ser usado dentro deste payload SVG. Um iframe acessando o subdomínio Burpcollab e outro acessando o endpoint de metadados são apresentados como exemplos.
Você pode encontrar muitos outros payloads SVG em https://github.com/allanlw/svg-cheatsheet
A melhor maneira de explorar essa vulnerabilidade é abusar dela para fazer o bot carregar um script que você controla localmente. Assim, você poderá alterar a carga útil localmente e fazer o bot carregá-la com o mesmo código toda vez.
Mude file:///etc/passwd
para http://169.254.169.254/latest/user-data
por exemplo para tentar acessar uma página da web externa (SSRF).
Se SSRF for permitido, mas você não conseguir acessar um domínio ou IP interessante, verifique esta página para possíveis contornos.
Essa vulnerabilidade pode ser transformada muito facilmente em um SSRF (já que você pode fazer o script carregar recursos externos). Então, apenas tente explorá-la (ler alguns metadados?).
Existem alguns motores de HTML para PDF que permitem especificar anexos para o PDF, como PD4ML. Você pode abusar dessa funcionalidade para anexar qualquer arquivo local ao PDF. Para abrir o anexo, eu abri o arquivo com Firefox e cliquei duas vezes no símbolo do clipe de papel para armazenar o anexo como um novo arquivo. Capturar a resposta PDF com burp também deve mostrar o anexo em texto claro dentro do PDF.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)