22.png
什么是PDFReacter?-它是一种解析软件,可以把HTML文件转换为PDF文件。
在某次渗透测试时,我发现目标应用使用了PDFReacter进行文件转换。
于是我想到,也许这个软件在处理某些危险的HTML代码时存在缺陷。我尝试往一个正常的HTML页面插入一个单独的<img>标签,然后将其转换PDF,响应如下:
33.png
这貌似是一个好的开始,目标应用和PDFReacter并不会对某些HTML标签过多处理。
下一次我尝试是使用<iframe>标记,并往里引入一个谷歌。
44.png
现在已经很明显了,我插入的HTMl标签都能生效,我还尝试将我自己的网站加载到<iframe>中,而且在进行文件转换时我还发现我的网站被目标应用所访问。
接下来我想使用file:///wrapper来加载本地文件,payload为><iframe src="file:///etc/passwd"/></iframe>
55.png
砰!!!!!
然后是/etc/shadow文件。这个目标应用是以root权限运行,因此我也获得了这个高权限文件。
"/><iframe src="file:///etc/shadow"></iframe>
最后一步,我直接读取了和SSH有关的配置文件,获取了SSH密钥,直接通过SSH以root身份连接到服务器。
66.png
感谢你的阅读!
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2535.html
来源:https://medium.com/@armaanpathan/pdfreacter-ssrf-to-root-level-local-file-read-which-led-to-rce-eb460ffb3129
