MAQUINA MD2PDF (WEB SSRF CVE-2023-35583 wkhtmlOpdf 0.12.6)

Enumere los puertos internos de la maquina combinando una serie de script de reconocimiento por cada puerto encontrado para determinar que servicios están corriendo y que versiones son de dichos servicios.

nmap -p- --open -sSCV --min-rate 3000 -Pn -n 10.201.11.106

Revise el servicio web que corre por el puerto 80 donde me tope con software "MD2PDF" para convertir textos a PDF.

Escribí un texto y lo convertí a PDF, luego allí en la parte superior derecha logre ver el nombre del software y su versión.

Busque alguna vulnerabilidad asociada a la versión donde encontré el siguiente CVE.

Es una vulnerabilidad SSRF en wkhtmltopdf 0.12.6 que permite a un atacante inducir al binario a realizar peticiones a URLs arbitrarias (por ejemplo, inyectando un <iframe src="http://10.0.0.5/..."> en HTML suministrado), con impacto potencial para acceder a recursos internos o escalar a compromisos mayores.

Luego de encontrar ese CVE el siguiente paso que hize fue fuzzear directorios en búsqueda de rutas ocultas.

La ruta /admin solo puede verse internamente, en este caso acá es donde aplico la vulnerabilidad encontrada para ver el contenido de la ruta admin.

Vuelvo a la sección principal y coloco lo siguiente.

<iframe src="http://127.0.0.1:5000/admin"></iframe>

Una ver convertido a PDF logre ver la flag oculta dentro de admin.