Joskus PDF-generaattorit sallivat jopa JavaScript-koodin ajamisen. Jos palvelimen omien tiedostojen hakeminen sekä JavaScript-koodin ajaminen on mahdollista, voimme varastaa tiedostoja JavaScriptin avulla.

Tee alla oleva harjoitus ja koita saada PDF-generaattorin kautta luettua palvelimelta 

 tiedosto. Tiedosto sisältää lipun. Tehtävä ratkaistaan labran alla olevassa materiaalissa, mutta yritä kuitenkin ensin itse.

PDF-injektio - JavaScript

Aloitamme etsimällä haavoittuvuuden. Verkkosivu on toiminnaltaan suhteellisen yksinkertainen, eli voimme antaa syötettä neljään eri kenttään, jonka jälkeen voimme generoida tästä "profiilista" PDF-tiedoston, joka sisältää jokaisen kentän arvon. Muutaman kokeilun jälkeen selviää, että ainoastaan 

 kenttää ei puhdisteta ennen generointia. Loput kentistä suodatetaan siten, että näistä muodostuu HTML-enkoodattua dataa. Nimi kenttä taas ei salli HTML-koodia ollenkaan.

Seuraavaksi käytämme hyväksi haavoittuvuutta ja varastamme 

 tiedoston. Kyseinen tiedosto löytyy jokaisesta Linux-järjestelmästä, joten se on mainio PoC (Proof-of-Concept) tiedosto, kun halutaan todeta, että pystyy lukemaan palvelimen sisäisiä tiedostoja.

Jos yritämme käyttää tähän edellisessä tehtävässä käytettyä 

elementtiä, niin PDF-tiedosto ei tule sisältämään muuta kuin tyhjän ikkunan.

Tämä riippuu jokseenkin PDF-generaattorista ja tilanteesta. Joskus iframe toimii, joskus ei. Silloin, kun se ei toimi, kannattaa varautua käyttämään muita keinoja kuten JavaScript-koodia. Kokeillaan seuraavaa koodia.

Yllä oleva JavaScript-koodi käyttää vanhempaa tapaa suorittaa HTTP-pyyntöjä JavaScript-koodilla. Uudempi 

Onnistuipas! - Olemme nyt onnistuneesti vuotaneet /

 tiedoston palvelimelta. Kokeile seuraavaksi keksiä muita tapoja itse, miten tiedoston voisi vuotaa palvelimelta, nyt kun 

Joskus PDF-generaattorit sallivat jopa JavaScript-koodin ajamisen. Jos palvelimen omien tiedostojen hakeminen sekä JavaScript-koodin ajaminen on mahdollista, voimme varastaa tiedostoja JavaScriptin avulla.

Tee alla oleva harjoitus ja koita saada PDF-generaattorin kautta luettua palvelimelta */etc/passwd* tiedosto. Tiedosto sisältää lipun. Tehtävä ratkaistaan labran alla olevassa materiaalissa, mutta yritä kuitenkin ensin itse.

@exercise b2ce7b9e77ed

## Haavoittuvuuden todentaminen

Aloitamme etsimällä haavoittuvuuden. Verkkosivu on toiminnaltaan suhteellisen yksinkertainen, eli voimme antaa syötettä neljään eri kenttään, jonka jälkeen voimme generoida tästä "profiilista" PDF-tiedoston, joka sisältää jokaisen kentän arvon. Muutaman kokeilun jälkeen selviää, että ainoastaan **kommentti** kenttää ei puhdisteta ennen generointia. Loput kentistä suodatetaan siten, että näistä muodostuu HTML-enkoodattua dataa. Nimi kenttä taas ei salli HTML-koodia ollenkaan.

![](sanity:image-0305ed064ed8bee6796a491252084b46cb434031-440x187-png)

---

## Haavoittuvuuden hyväksikäyttäminen

Seuraavaksi käytämme hyväksi haavoittuvuutta ja varastamme */etc/passwd* tiedoston. Kyseinen tiedosto löytyy jokaisesta Linux-järjestelmästä, joten se on mainio PoC (Proof-of-Concept) tiedosto, kun halutaan todeta, että pystyy lukemaan palvelimen sisäisiä tiedostoja.

Jos yritämme käyttää tähän edellisessä tehtävässä käytettyä **iframe-**elementtiä, niin PDF-tiedosto ei tule sisältämään muuta kuin tyhjän ikkunan.

![](sanity:image-8c4f794a2c86724cccec4e5a71d283224e396017-534x357-png)

![](sanity:image-523ae8a0fce3715416851c318020b1edda3dcfa8-613x231-png)

Tämä riippuu jokseenkin PDF-generaattorista ja tilanteesta. Joskus iframe toimii, joskus ei. Silloin, kun se ei toimi, kannattaa varautua käyttämään muita keinoja kuten JavaScript-koodia. Kokeillaan seuraavaa koodia.

```javascript
<script>
x=new XMLHttpRequest;
x.onload=function(){ document.write(this.responseText) };
x.open("GET","file:///etc/passwd");
x.send();
</script>
```

Yllä oleva JavaScript-koodi käyttää vanhempaa tapaa suorittaa HTTP-pyyntöjä JavaScript-koodilla. Uudempi *fetch*-funktio ei tue *file:///* skeemaa. Koodi hakee tiedoston */etc/passwd *ja kirjoittaa sen dokumenttiin.

![](sanity:image-c38cceb482606dbb0b502981c630b7a4cc8bc96e-1190x291-png)

Onnistuipas! - Olemme nyt onnistuneesti vuotaneet /*etc/passwd* tiedoston palvelimelta. Kokeile seuraavaksi keksiä muita tapoja itse, miten tiedoston voisi vuotaa palvelimelta, nyt kun **iframe**-elementti ei toimi.


PDF-export-injektio - JavaScriptin käyttö

PDF-tiedostogeneraattorit ovat yleisiä ja hyvästä syystä. Näistä on kuitenkin löytynyt viime vuosina löytynyt vaarallisia haavoittuvuuksia. 

Tässä kurssissa tutustumme erilaisiin PDF-tiedostogeneraattoreihin ja näissä piileviin vaarallisiin haavoittuvuuksiin, sekä kuinka näiltä voi välttyä.

PDF-export-injektio - JavaScriptin käyttö

Haavoittuvuuden todentaminen

Hakkeroinnin oppiminen alkaa tästä