CVE-2021-3129 Laravel Debug mode 远程代码执行漏洞

前面简介文字多,但是复现过程详细,不要划走哦。可爱的你点个赞呗

0x00 Laravel简介

Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来；它可以帮你构建一个完美的网络APP，而且每行代码都可以简洁、富于表达力。

在Laravel中已经具有了一套高级的PHP ActiveRecord实现 -- Eloquent ORM。它能方便的将“约束（constraints）”应用到关系的双方，这样你就具有了对数据的完全控制，而且享受到ActiveRecord的所有便利。Eloquent原生支持Fluent中查询构造器（query-builder）的所有方法。

0x01 漏洞概述

由于Laravel自带的lgnition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件触发phar反序列,最终造成代码执行

0x02 影响版本

Laravel <= 8.4.2
Ignition <2.5.2

 0x03漏洞复现，环境搭建

在这里用到两台机器(使用一台机器也可)

1 攻击机:kali 2021.2

2 靶机:Centos7

 Centos操作:

  1 克隆github上已经搭建好的  环境

git clone git://github.com/SNCKER/CVE-2021-3129 

  2 在克隆好的目录下进行执行以下命令启动环境

docker-compose up -d

  3 在浏览器访问自己ip:8888端口   并且点击Generate app key即可

   点击之后刷新页面,出现以下页面即搭建成功

kali操作:

   4 克隆环境的目录中附带exp,kali攻击机也可在github上进行下载(为了方便,我直接拖过去了)

    下载运行exp所使用的到的工具(与exp放同一目录下)

git clone git://github.com/ambionics/phpggc.git

 

 

    给phpggc可执行权限 

chmod 777 ./phpggc/phpggc

   5 使用vim修改exploit.py中的目标地址为Centos7地址(即目标地址)

  6 使用python3运行脚本开始攻击(从配置文件可以看出默认查看/etc/password文件,也可手动修改)

python3 exploit.py

 

   7 修改一下exploit.py脚本就可以执行任意命令

vim exploit.py

 在exploit文件开头添加import sys库

  主函数修改为:

  8 运行脚本开始测试

第一个参数为目标ip,''中为执行的命令

python3 exploit.py http://192.168.21.129:8888 'whoami'

 

 9 也可一键getshell，连接哥斯拉

exp地址:GitHub - SecPros-Team/laravel-CVE-2021-3129-EXP

防护建议:

1.使用白名单限制相关web项目的访问来降低风险

2.将 Laravel 框架升级至8.4.3及其以上版本，或者将facade ignition组件升级至 2.5.2 及其以上版本