PDFReacter SSRF для чтения локального файла уровня ROOT, что привело к RCE

Что такое PDFReacter?
- PDFReacter - это парсер, который анализирует содержимое HTML из HTML в PDF.

При тестировании приложения я обнаружил, что приложение использует парсер PDFReacter.

PDFReacter - это процессор форматирования, который анализирует содержимое HTML в файлы PDF. Так как приложение имеет возможность вставлять данные в формы, я начал фаззинг с XSS и для этого просто использовал тег ‹img›. была возможность экспортировать формы в PDF, и когда я экспортировал форму с полезной нагрузкой, окончательный файл PDF был таким.

Это означает, что приложение и PDFReacter не экранируют теги HTML, но также обрабатывают теги HTML / полезные нагрузки XSS.

Поскольку я знал, что приложение использует PDFReacter в качестве парсера, и приложение, и парсеры не избегают моих полезных данных. Следующее было с iframe. Я хотел проверить, могу ли я загружать внешние сайты в окончательный PDF-документ или нет, и, как вы можете видеть, Google загружается во фрейме.

Теперь было ясно, что я могу попасть на внешние сайты с помощью iframe (SSRF Confirmed).

Следующим шагом было чтение локальных файлов с помощью file: /// wrapper.Simple Payload «› ‹iframe src =» file: /// etc / passwd »/› ‹/iframe›, который я использовал для этого.

Хлопнуть !!!!!

Далее нужно проверить, есть ли у текущего пользователя права root. Я просто попытался получить теневой файл с нижеупомянутой полезной нагрузкой и заметил, что смог получить теневой файл.
«/› ‹iframe src =» file: /// etc / shadow »› ‹/ iframe ›

Поскольку текущий пользователь имеет права root, следующим было открыть оболочку, я получил закрытые ключи SSH и смог подключиться к серверу по SSH.

Хотя это был не первый мой RCE, у меня мурашки по коже, когда я открыл снаряд. Блог Рахула Майни очень помог мне понять текущий сценарий. Спасибо, Майни за отличный блог.

Спасибо всем за чтение.