PDF解析中的本地文件包含漏洞分析与利用<\/h1>

漏洞背景<\/h2>

本地文件包含(LFI)漏洞是一种高危漏洞类型，攻击者可能利用其：<\/p>

读取服务器文件源码或敏感信息<\/li>
包含恶意文件<\/li>
执行任意代码<\/li>

最终可能导致服务器被完全控制<\/li> <\/ul>

大多数LFI攻击源于动态加载图像或其他文件的代码，当请求的文件名或路径未经过正确验证时就会发生。<\/p>

漏洞发现过程<\/h2>

目标识别<\/h3>

使用Aquatone工具枚举子域，发现Bathroomplanner.IKEA.com<\/code>子域<\/li>

该子域提供在线浴室规划工具，允许用户：

查找产品并添加到列表<\/li>
通过电子邮件发送产品列表<\/li>
以PDF格式下载产品列表<\/li>
<\/ul>
<\/li>
<\/ol>
流量分析<\/h3>
使用Burp Suite拦截流量，发现PDF生成请求包含几个关键字段：<\/p>

data<\/code>: 包含产品和图片代码的JSON blob<\/li>
shopping<\/code>: 包含产品列表的JSON blob<\/li>
pdf<\/code>: 一长串不明字符<\/li>
images<\/code>: base64编码的图片<\/li>
<\/ul>
参数解码分析<\/h3>

pdf<\/code>参数经过URL编码和Base64编码双重处理<\/li>
解码后得到的是PDF模板字符串，用于生成最终的PDF购物清单<\/li>
<\/ol>
漏洞利用尝试<\/h2>
初始尝试<\/h3>
在模板中插入``尝试包含系统文件，但PDF生成器无法识别为有效图片。<\/p>
深入分析<\/h3>

通过模板中的独特字符串识别使用的PDF库为mPDF<\/li>
研究mPDF的CHANGELOG，发现2017年10月19日的更新改变了注释标签的处理方式<\/li>
进一步研究发现旧版本mPDF存在严重安全问题，可通过注释标记包含文件<\/li>
<\/ol>
成功利用<\/h3>
在模板中添加恶意注释标记：<\/p>
<annotation<\/span> file<\/span>=<\/span>"\/etc\/passwd"<\/span> content<\/span>=<\/span>"\/etc\/passwd"<\/span> icon<\/span>=<\/span>"Graph"<\/span> title<\/span>=<\/span>"Attached File: \/etc\/passwd"<\/span> pos-x<\/span>=<\/span>"195"<\/span> \/>
<\/span><\/span><\/code><\/pre>通过Burp Suite Repeater发送修改后的模板，下载PDF后用Foxit Reader打开，可查看嵌入的服务器文件内容。<\/p>
技术原理<\/h2>
mPDF库的注释功能(<annotation><\/code>标签)存在设计缺陷：<\/p>

允许直接引用服务器文件路径<\/li>
未对文件路径进行充分验证<\/li>
旧版本未禁用此危险功能<\/li>
<\/ul>
修复建议<\/h2>

禁止用户操纵PDF模板<\/strong>：不应允许客户端控制PDF生成模板<\/li>
客户端渲染方案<\/strong>：使用jsPDF等客户端库生成PDF<\/li>
及时更新库<\/strong>：升级到最新版mPDF，确保禁用危险功能<\/li>
输入验证<\/strong>：对所有用户提供的参数进行严格验证<\/li>
<\/ol>
漏洞披露时间线<\/h2>

2018.6.16：发现并提交漏洞<\/li>
2018.6.17：IKEA临时禁用PDF生成功能<\/li>
2018.6.18-2018.9.11：漏洞确认、修复和奖励过程<\/li>
2018.9.18：正式公开漏洞详情<\/li>
<\/ol>
总结<\/h2>
此案例展示了：<\/p>

第三方库安全更新的重要性<\/li>
用户输入控制的危险性<\/li>
多层编码可能隐藏的安全问题<\/li>
负责任的漏洞披露流程<\/li>
<\/ol>
通过分析PDF生成过程中的参数处理，结合对使用库的深入研究，成功发现并利用了本地文件包含漏洞。这提醒开发人员需要全面审查第三方库的安全特性，并及时应用安全更新。<\/p>

PDF解析中的本地文件包含漏洞分析与利用<\/h1>

漏洞发现过程<\/h2>

漏洞利用尝试<\/h2>

初始尝试<\/h3> 在模板中插入``尝试包含系统文件，但PDF生成器无法识别为有效图片。<\/p>

初始尝试<\/h3>
在模板中插入``尝试包含系统文件，但PDF生成器无法识别为有效图片。<\/p>