通過html注入實現CVE-2023-33733 RCE攻擊

背景介紹

CVE-2023-33733 由 Cure53 Elyas Damej 的滲透測試人員發現，本文將介紹國外一位白帽子通過采取哪些步驟，從確定目標使用什么庫來生成PDF，最終又是如何實現 RCE的全過程。

目標簡介

目標應用程序為牙醫設計，可以上傳患者的X光射線報告（支持PNG、JPG等格式），上傳X射線圖像后，可以編輯一些字段，如患者姓名、報告日期、評論等。在添加所有必需的詳細信息后，還可以打印該X射線報告。

發現過程

首先在“生成報告”時抓包：

然后下載 PDF 報告并使用 exiftool 來檢查是否可以識別在 PDF 生成過程中使用了哪種軟件或庫，遺憾的是沒能獲得任何信息。

然后白帽子在 comment 參數中添加了一些 html 代碼：

"><img src=https://myhost>

通過使用上面的payload來識別可能用來渲染 html 代碼服務器端的庫/瀏覽器。

當再次點擊“生成報告”按鈕時，請求失敗，檢查響應包，發現報錯：

{
"\nparagraph text '<para>Note: <font color=\"#484848\"><img src=x></font></para>' caused exception Parse error: saw </font> instead of expected </img>"
}
generic
155 Bytes
? Guge's Blog