Server Side XSS (Dynamic PDF)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Якщо веб-сторінка створює PDF, використовуючи введення, контрольоване користувачем, ви можете спробувати обманути бота, який створює PDF, щоб він виконав довільний JS код. Отже, якщо бот для створення PDF знаходить якісь HTML теги, він буде інтерпретувати їх, і ви можете зловживати цією поведінкою, щоб викликати Server XSS.
Зверніть увагу, що теги <script></script>
не завжди працюють, тому вам знадобиться інший метод для виконання JS (наприклад, зловживання <img
).
Також зверніть увагу, що в звичайній експлуатації ви зможете бачити/завантажувати створений pdf, тому ви зможете бачити все, що ви пишете через JS (використовуючи document.write()
, наприклад). Але, якщо ви не можете бачити створений PDF, вам, ймовірно, потрібно буде витягнути інформацію, роблячи веб-запит до вас (Сліпий).
wkhtmltopdf відомий своєю здатністю перетворювати HTML і CSS у PDF-документи, використовуючи движок рендерингу WebKit. Цей інструмент доступний як безкоштовна командна утиліта, що робить його доступним для широкого спектра застосувань.
TCPDF пропонує надійне рішення в екосистемі PHP для генерації PDF. Він здатний обробляти зображення, графіку та шифрування, демонструючи свою універсальність для створення складних документів.
Для тих, хто працює в середовищі Node.js, PDFKit представляє собою життєздатний варіант. Він дозволяє генерувати PDF-документи безпосередньо з HTML і CSS, забезпечуючи міст між веб-контентом і друкованими форматами.
Розробники Java можуть віддати перевагу iText, бібліотеці, яка не тільки полегшує створення PDF, але й підтримує розширені функції, такі як цифрові підписи та заповнення форм. Її комплексний набір функцій робить її придатною для створення безпечних і інтерактивних документів.
FPDF є ще однією бібліотекою PHP, яка відрізняється своєю простотою та зручністю використання. Вона призначена для розробників, які шукають простий підхід до генерації PDF, без необхідності в розширених функціях.
Будь-який з попередніх або наступних payload може бути використаний всередині цього SVG payload. Один iframe, що отримує доступ до піддомену Burpcollab, і ще один, що отримує доступ до кінцевої точки метаданих, наведені як приклади.
Ви можете знайти багато інших SVG payloads в https://github.com/allanlw/svg-cheatsheet
Найкращий спосіб використати цю вразливість - зловживати нею, щоб змусити бота завантажити скрипт, який ви контролюєте локально. Тоді ви зможете змінювати корисне навантаження локально і змусити бота завантажувати його з тим самим кодом щоразу.
Змініть file:///etc/passwd
на http://169.254.169.254/latest/user-data
, наприклад, щоб спробувати отримати доступ до зовнішньої веб-сторінки (SSRF).
Якщо SSRF дозволено, але ви не можете досягти цікавого домену або IP, перевірте цю сторінку на предмет потенційних обходів.
Цю вразливість можна дуже легко перетворити на SSRF (оскільки ви можете змусити скрипт завантажувати зовнішні ресурси). Тож просто спробуйте її експлуатувати (прочитати деякі метадані?).
Існують деякі HTML 2 PDF движки, які дозволяють вказувати вкладення для PDF, такі як PD4ML. Ви можете зловживати цією функцією, щоб додати будь-який локальний файл до PDF. Щоб відкрити вкладення, я відкрив файл за допомогою Firefox і двічі натиснув на символ скріпки, щоб зберегти вкладення як новий файл. Перехоплення PDF відповіді за допомогою burp також повинно показати вкладення у відкритому тексті всередині PDF.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)