Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Odczytywanie plików z serwera PDF-em (!)

14 kwietnia 2017, 15:16 | W biegu | komentarze 3
Tagi: , , ,

Interesujący research dotyczący plików PDF, a raczej serwisów które je przetwarzają. Autor wykorzystuje fakt często automatycznej konwersji (po stronie serwerowej) plików PostScript na PDF.

Sam plik PostScript, jak sama nazwa wskazuje jest małym skryptem, który finalnie wyświetla się jako dokument, przykład z Wikipedii:

%!PS
 /Courier             % name the desired font
 20 selectfont        % choose the size in points and establish 
                      % the font as the current one
 72 500 moveto        % position the current point at 
                      % coordinates 72, 500 (the origin is at the 
                      % lower-left corner of the page)
 (Hello world!) show  % stroke the text in parentheses
 showpage             % print all on the page

Pliki .ps mogą robić też więcej rzeczy – np. zapisywać / odczytywać dane z plików na filesystemie.  Są też przykłady całych web serwerów napisanych jako… „zwykły” plik PostScript.

Scenariusz ataku jest tutaj więc np. taki – uploaduję mój plik .ps który aplikacja konwertuje na PDF. W międzyczasie wykonywany jest kod zapisany w .ps, który odczytuje pliki z serwera i prezentuje je wynikowym pdf-ie. Gotowce w cytowanym researchu.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Taśtaś

    Ktoś w dzisiejszych czasach oferuje obsługę poststriptu?

    Odpowiedz
    • No właśnie – oferuje i to czasem nieświadomie :)

      Odpowiedz
    • 100% Arki we Wrzeszczu.

      W UK wiekszosc stron z ofertami pracy przy zakladaniu profilu prosi o upload CV/listu i konwertuje z docx na pdf np.

      Odpowiedz

Odpowiedz