Nytt verktyg för att testa PDF-tjänster

Rätt ofta när jag granskar olika typer av tjänster eller produkter så kan dessa på något sätt hantera PDF-filer. Så under några år så har jag manuellt skapat PDF-filer som innehåller olika avarter såsom ”ringa hem”-funktionalitet. Dvs en länk som på något sätt triggar ett anrop mot internet manuellt eller automatiserat. Dessa går som oftast via HTTPS/HTTP eller bara ett DNS-uppslag.

Efter några timmars research och komplettering med de PDF-filer som jag hade tidigare så skrev jag ihop ett enkelt verktyg som spottar ut ett gäng PDF-filer som du sedan laddar upp eller skickar in i tjänsten som du granskar/testar.

Det är således ett verktyg främst för penetrationstestare eller säkerhetsgranskare. Verktyget heter malicious PDF vilket kanske är lite missvisande eftersom det bara är externa länkar som PDF-filerna innehåller. Jag brukar använda det på så sätt att jag genererar en Burp Collaborator URL som sedan automatiskt placeras i PDFerna av verktyget.

Givetvis går det även att sätta upp en egen Burp Collaborator-server genom att följa denna guide.

Några av de funktioner som implementeras:

• ImportData
• SubmitForm
• GoToR
• Launch
• URI
• Extern XSLT stylesheet in XFA
• CHTTP app.openDoc Javascript

Och finns givetvis fler anrop som kan implementeras, kolla gärna credits i länken nedan och gör gärna en pull request!

Här hittar du verktyget på Github:

• https://github.com/jonaslejon/malicious-pdf