Laravel 漏洞利用工具:laravel-exploits

于 2024-06-09 09:33:20 发布
阅读量358 收藏 9
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00070/article/details/139555274
版权

Laravel 漏洞利用工具:laravel-exploits

1、项目介绍

laravel-exploits 是一个专门为 Laravel 框架开发的漏洞利用工具,主要用于CVE-2021-3129的安全测试和研究。这个开源项目由Ambionics推出,旨在帮助安全专业人员检测和防御Laravel应用程序中的潜在威胁,以提高整体安全性。

2、项目技术分析

这个工具的核心是通过phpggc创建一个恶意的PHAR(PHP档案)文件,并利用Monolog组件的远程代码执行(RCE)漏洞。laravel-ignition-rce.py脚本则用于在目标 Laravel 应用上部署这个PHAR文件,触发漏洞并执行系统命令。值得注意的是,项目依赖于phar.readonly设置为0,以允许动态构建PHAR文件。

3、项目及技术应用场景

对于以下情况,laravel-exploits非常有用:

  • 安全研究人员想要测试他们的Laravel应用是否对CVE-2021-3129易感。
  • 开发团队希望确保其生产环境已经修补了这个关键漏洞。
  • 教育场景中,学习如何防范和修复此类漏洞的专业人士。

通过此项目,你可以模拟攻击,验证你的防护策略,并加深对Web应用安全的理解。

4、项目特点

  • 针对性强:专门针对Laravel框架的CVE-2021-3129漏洞。
  • 简单易用:只需要简单的命令行操作即可执行漏洞利用过程。
  • 快速评估:能迅速检查Laravel应用是否存在该安全问题。
  • 教育价值:提供实战经验,增强对Web应用安全攻防的认识。

使用 laravel-exploits 可以更有效地发现和预防潜在的安全风险,对于维护Laravel应用的安全性来说,这是一个宝贵的资源。请注意,应遵循合法授权,仅用于合法的安全测试与漏洞修复,不得用于非法目的。

劳泉文Luna
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./laravel-ignition-rce.py http://localhost:8000/ /tmp/exploit.phar Log file: /work/pentest/laravel/laravel/storage/logs/laravel.log Logs cleared Successfully converted to PHAR ! Phar deserialized -----------
larasploit:Laravel自动漏洞扫描程序
03-18
去做 Laravel指纹 Laravel Leak .env Laravel调试模式 Laravel CVE-2018-15133 Laravel点火 APP_KEY不安全的反序列化已泄漏 安装 克隆回购 git clone https://github.com/carlosevieira/larasploit 跑 cd larasploit python3 larasploit.py
Laravel5.7反序列化漏洞(CVE-2019-9081)
最新发布
byname1的博客
03-30 941
this->instances[$abstract]为一个application对象的话既满足了return的条件:又能返回一个application对象。这个就轻松多了,直接:这样的话就直接返回了一个application对象来调用call,我们继续跟进一下call方法。
漏洞复现】CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
03-03 1万+
文章目录前言一、漏洞简介二、影响范围三、环境搭建四、漏洞复现五、修复方法六、参考链接 前言 仅供安全研究和技术学习,切勿用于非法用途,切记! 一、漏洞简介 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 二、影响范围 Laravel < 8.4.3 facade
laravel实现文章加密功能_DamnVulnerableCryptoApp:一款功能强大的弱加密实现检测工具...
weixin_39943868的博客
01-20 71
DamnVulnerableCryptoAppDamnVulnerableCryptoApp是一款实现了各种弱加密的应用程序,广大研究人员可以使用DamnVulnerableCryptoApp来查看、测试或利用目标应用程序钟的弱加密实现,而密码学初学者们也可以利用该工具在无需深入了解加密背后数学知识的情况下,来学习关于密码学的更多知识。如果你想了解更多关于加密方面的知识,如果你想知道加密...
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 2870
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
(43.1)【web应用漏洞发现】漏洞平台、开发框架、CMS漏扫工具
04-29 4585
【专题】web应用漏洞发现
漏洞利用EXP windows-kernel-exploits-master.zip
03-10
本文将深入探讨“windows-kernel-exploits-master.zip”这个压缩包所包含的主题,即Windows内核漏洞的利用和提权技术。在计算机安全中,本地溢出提权是一种常见的攻击方式,它要求攻击者首先拥有服务器上的普通用户...
Kernel-Exploits:内核漏洞利用
08-05
Kernel-Exploits-master这个压缩包很可能包含了各种内核漏洞的实例,包括PoC(Proof of Concept)代码、分析报告、利用脚本等。研究这个库可以帮助我们理解内核漏洞的工作方式,学习如何检测、避免和修复这些漏洞,...
discord-exploits:用于创建漏洞利用的媒体文件的工具
04-05
不和谐漏洞 用Go语言编写的用于创建被利用的媒体文件的程序。 如果您有任何疑问,请随时问我 或加入服务器: 当您双击它时,不要立即询问窗口为何立即关闭, DISCORD-EXPLOITS是一种命令行实用程序,表示您必须从...
CVE-Exploits:PoC利用软件漏洞
03-10
CVE漏洞利用PoC PoC利用多个软件漏洞。 当前的漏洞利用 CVE-2019-18634 :启用pwfeedback模块时,sudo tgetpass.c中基于堆栈的缓冲区溢出 CVE-2021-3156 :当argv以反斜杠字符结尾时,sudo sudoers.c中基于堆的缓冲...
Laravel Debug mode 远程代码执行漏洞(CVE-2021-3129 )
qq_73767109的博客
07-03 1030
Laravel < 8.4.3可以实现日志利用造成phar反序列化。
laravel高危漏洞
gztrljh
01-15 2021
【阿里云】【高危漏洞预警】尊敬的 cnmaijilun,您好,2021 年 1 月 13 日,阿里云应急响应中心监控到国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。攻击者可直接发起恶意请求,通过构造恶意 Log 文件等方式触发 Phar 反序列化,从而造成远程代码执行。经阿里云工程师紧急排查,您的服务器: http:// 我是马赛克 pt.com/ 疑似受漏洞影响,建议您尽快使用阿里云云安全中心应急漏洞模块进行一键检测。参考:p.tb.cn/74s4TO ...
Laravel命令执行漏洞
longwanlian的博客
12-12 1368
Laravel基于php搭建的开发框架。
2023年红队渗透-开发框架可利用漏洞汇总
apple_52661176的博客
09-05 415
Spring Cloud Function提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像Amazon AWS Lambda这样的 FaaS(函数即服务,function as a service)平台。Spring Framework是一个开源应用框架,初衷是为了降低应用程序开发的复杂度,具有分层体系结构,允许用户选择组件,同时还为J2EE应用程序开发提供了一个好用的框架。4.3 Spring Framework远程代码执行漏洞 CVE-2022-22965。2 访问jsp触发后门。
Laravel RCE(CVE-2021-3129)复现
m0_64815693的博客
01-27 2375
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
LARAVEL敏感信息泄漏
weixin_43183608的博客
08-23 4197
把这段时间见到的漏洞汇总复盘一下
Laravel 漏洞合集
热门推荐
小小猪的博客
08-19 1万+
Laravel 漏洞合集 Laravel 存在SQL注入漏洞 poc: /test?email=1&id=1 union select user()# /test?email=1/`&id=1&column=/ union select user()--+- 可以看的注入成功 Laravel 反序列化漏洞 一. poc: <?php namespace Illuminate\Broadcasting{ use Illuminate\Bus\D...
laravel-exploits
10-07
Laravel-Exploits是指Laravel框架的一种利用方法或漏洞Laravel是一种流行的PHP框架,被广泛用于Web应用程序开发。然而,正如所有软件都可能存在安全漏洞一样,Laravel也不例外。 Laravel-Exploits可以指涉到Laravel框架的安全漏洞,这些漏洞可以被黑客用来入侵和攻击网站。这些漏洞可能包括未经验证的用户输入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。 为了防止Laravel-Exploits的发生,开发人员需要采取一系列安全措施。首先,必须保持框架和依赖库的更新。Laravel的维护者会发布修复漏洞的补丁,因此及时更新是很重要的。其次,必须对用户输入进行正确的验证和过滤,以防止不受信任的数据访问。还可以使用Laravel提供的内置安全特性,如安全的会话管理、密码哈希、访问控制等,来提高网站的安全性。 此外,安全审计也是一种预防Laravel-Exploits的有效方法。通过测试和审计应用程序,可以发现和修复潜在的漏洞,加强系统的安全性。 总之,Laravel-Exploits是指Laravel框架可能存在的安全漏洞和攻击方式。为了保护网站免受这些漏洞的威胁,开发人员需要保持框架和依赖库的更新、正确验证和过滤用户输入、使用内置的安全特性,并进行安全审计和测试。只有这样,才能加强Laravel应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

劳泉文Luna

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值