干货 | 红队和漏洞挖掘中那些关于文档的妙用(
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
0x01 PDF在漏洞挖掘和红队中的一些攻击姿势
1.使用PDF进行XSS攻击
一个比较新的攻击点,它的攻击场景其实不算常见,如果有某些站点允许上传PDF、能在线解析PDF并且用户能够在线浏览该PDF文件,就有可能存在PDF XSS攻击,要实现这个攻击,我们需要制作一个恶意PDF文件,方法如下:
首先找一个PDF编辑器,本文使用“迅捷PDF编辑器“,其它编辑器的操作方法应该也大同小异。点击左上角文件-新建文档-从空白页…
单机左侧的“页面“标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择“页面属性”命令
也可以在这个位置找到
在“页面属性”对话框单击“动作”标签,再从“选择动作”下拉菜单中选择“运行 JavaScript”命令,然后单击【添加】按钮,弹出 JavaScript 编辑器对话框
在弹出的“JavaScript 编辑器”对话框中输入代码:
app.alert(‘XSS’);
保存即可,我们试着用浏览器打开这个恶意PDF文件
成功弹窗
2.Adobe Acrobat Reader RCE漏洞
与Word和Excel同样的,PDF的查看器本身也存在一些漏洞,如果能够构造恶意PDF,就能够对这些漏洞进行利用。
比方说CVE-2021-21017就是这样一个漏洞
Github链接:https://github.com/ZeusBox/CVE-2021-21017
0X02 使用Word文档进行XXE攻击
1.了解一下DOCX文档的构造
使用DOCX文档进行XXE攻击,看上去似乎非常高级,其实它的原理是非常简单的。DOCX文档其实就是把一堆的XML文件按照一定的格式压缩在一起。在上篇文章中我们提到了一种远程加载文档模板进行攻击的方法,那个姿势的操作过程中,我们就有对settings.xml.rels文件中的内容进行编辑。事实上,你只需要把DOCX文档的后缀改为ZIP,并解压出其中的文件,就可以清晰地看到DOCX文档的“真实面貌“。
如下图,可以清晰的看到DOCX文档的实际构成
那么既然是XML文档,我们知道XXE攻击的实质就是后端在处理XML相关数据的时候也执行了我们的恶意XML语句,那么有没有一种可能,我们把恶意语句嵌入到DOCX文档中的某些XML文件里,设法让目标网站触发呢?答案是可行的。
这个姿势的关键点在于,既然DOCX文档是由XML压缩而成的,那么网站的一些功能,比方说在线阅读DOCX文档,在线解析DOCX文档等等功能,一定绕不开解析DOCX文档里的XML文件。所以那种网盘在线阅读DOCX文档、网站在线解析DOCX文档、邮件系统传输DOCX文档等等功能都有可能存在这类漏洞,平时漏洞挖掘的时候记得多留个心眼。
下面就开始正式介绍利用的姿势
第一个回显位置
这个位置ord/document.xml文件中
把它打开后发现是这样的
第一个位点在文档声明的下方,也就是这个位置
可以嵌入恶意代码,比方说
随后将这个压缩包的后缀名修改为DOCX,就得到了一个用于XXE攻击的DOCX文档
第二个回显位置
这个姿势学习自先知社区的“你回来吗”师傅。这位师傅发现了在线浏览或者转换DOCX文档的功能处还有一个回显点,即文章的页码。
这个功能点所处的位置是docProps/app.xml
可以清楚的看到控制页码的标签是
- 上一篇:干货 | 红队和漏洞挖掘中那些关于”文档“的妙
- 下一篇:SQL注入测试