最近,ASRC的事情(由PDF引起的URL跳转循环)太热了,我起初并没有太在意它。后来,当我想播放它时,我发现作者没有给出好的描述来告诉大家如何播放和操作PDF。事件和漏洞的原理。我将在小白中探索它。 PDF事件添加 我是一个macOS系统,所以我不能使用快速PDF编辑器。后来,在尝试为Mac平台找到各种编辑器之后,我设法妥协并下载了破解版的Adobe Acrobat Pro DC 2018(也支持Windows)。 只需使用Word文档导出PDF,使用Acrobat打开它,编辑它,然后找到最终可以找到页面属性设置的位置。 单击右侧的组织页面功能:
选择此页面,然后单击更多 - >页面属性:
选择事件操作 - >触发器选择打开页面 - >选择操作以打开网络链接 - >添加输入地址:
成功设置:
漏洞测试 漏洞测试浏览器:Google Chrome Chrome 漏洞测试GIF:
为什么? 这个漏洞的局限性在于浏览器不同,为什么它只在某些浏览器中出现? 核心? 最初的猜测与浏览器的内核有关。 Chrome是基于Webkit的内核分支,Safari基于此,但经过测试,发现Safari无法跳转。 结果:没有 插入? 我之前已经了解到FireFox浏览器使用pdf预览插件作为Chrome的PDF Viewer,但最新版本只是很久以前(Firefox官方也进行了一些小修改):
谷歌已经更新了它的迭代: Chrome扩展程序: //mhjfbmdgcfjbbpaeojofohoefgiehjai/pdf_viewer.js
结果:与浏览器PDF预览插件相关联的可能性很高,可能是Google稍后引入了对PDF事件的支持。 结束 PoC下载:PoC.pdf