1 简介
Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
2 漏洞概述
当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
漏洞等级:高危。
3 影响范围
Laravel<=8.4.2
4 环境搭建
4.1 kali
4.2 docker环境搭建
- 先更新APT, apt-get update
- 安装https协议、CA证书, apt-get install -y apt-transport-https ca-certificates
- 安装docker, apt install docker.io
- 查看docker版本,看是否安装成功 docker -v
- 启动 docker systemctl start docker
- 查看开启环境 docker ps -a