PDFReacter：从SSRF到RCE

什么是PDFReacter？-它是一种解析软件，可以把HTML文件转换为PDF文件。

在某次渗透测试时，我发现目标应用使用了PDFReacter进行文件转换。

于是我想到，也许这个软件在处理某些危险的HTML代码时存在缺陷。我尝试往一个正常的HTML页面插入一个单独的<img>标签，然后将其转换PDF，响应如下：

这貌似是一个好的开始，目标应用和PDFReacter并不会对某些HTML标签过多处理。

下一次我尝试是使用<iframe>标记，并往里引入一个谷歌。

现在已经很明显了，我插入的HTMl标签都能生效，我还尝试将我自己的网站加载到<iframe>中，而且在进行文件转换时我还发现我的网站被目标应用所访问。

接下来我想使用file:///wrapper来加载本地文件，payload为><iframe src="file:///etc/passwd"/></iframe>

砰!!!!!

然后是/etc/shadow文件。这个目标应用是以root权限运行，因此我也获得了这个高权限文件。

"/><iframe src="file:///etc/shadow"></iframe>

最后一步，我直接读取了和SSH有关的配置文件，获取了SSH密钥，直接通过SSH以root身份连接到服务器。

感谢你的阅读！

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/@armaanpathan/pdfreacter-ssrf-to-root-level-local-file-read-which-led-to-rce-eb460ffb3129