0x00简介
Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
0x01漏洞概述
当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
0x02影响版本
Laravel <= 8.4.2
0x03环境搭建
1.这里使用GitHub上已有现成的docker环境搭建,使用git下载
git clone https://github.com/SNCKER/CVE-2021-3129
2.进入目录使用d