PDFReacter:从SSRF到RCE

PDFReacter:从SSRF到RCE

什么是PDFReacter?-它是一种解析软件,可以把HTML文件转换为PDF文件。

在某次渗透测试时,我发现目标应用使用了PDFReacter进行文件转换。

于是我想到,也许这个软件在处理某些危险的HTML代码时存在缺陷。我尝试往一个正常的HTML页面插入一个单独的<img>标签,然后将其转换PDF,响应如下:

PDFReacter:从SSRF到RCE

这貌似是一个好的开始,目标应用和PDFReacter并不会对某些HTML标签过多处理。

下一次我尝试是使用<iframe>标记,并往里引入一个谷歌。

PDFReacter:从SSRF到RCE

现在已经很明显了,我插入的HTMl标签都能生效,我还尝试将我自己的网站加载到<iframe>中,而且在进行文件转换时我还发现我的网站被目标应用所访问。

接下来我想使用file:///wrapper来加载本地文件,payload为><iframe src="file:///etc/passwd"/></iframe>

PDFReacter:从SSRF到RCE

砰!!!

然后是/etc/shadow文件。这个目标应用是以root权限运行,因此我也获得了这个高权限文件。

"/><iframe src="file:///etc/shadow"></iframe>

最后一步,我直接读取了和SSH有关的配置文件,获取了SSH密钥,直接通过SSH以root身份连接到服务器。

PDFReacter:从SSRF到RCE

感谢你的阅读!

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/2535.html
来源:https://medium.com/@armaanpathan/pdfreacter-ssrf-to-root-level-local-file-read-which-led-to-rce-eb460ffb3129

上一篇:SSRF漏洞学习


下一篇:SSRF绕过filter_var(),preg_match()和parse_url()