更多全球网络安全资讯尽在邑安全
前言Laravel是一套简洁、开源的PHPWeb开发框架,旨在实现Web软件的MVC架构。
年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE--)。当Laravel开启了Debug模式时,由于Laravel自带的Ignition组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
总是感觉在未来的CTF比赛中会考到这个漏洞点,所以今天我们再来谈一谈这个漏洞。
搭建测试环境OS:Ubuntu
PHP:7.4.14
Laravel:8.24.0?
利用VulHub上已有的镜像环境(推荐)目前CVE--在vulhub上已有一个现成的镜像,但是镜像又拖不来。但好在vulhub还提供了一个dockerfile(位于vulhub/base/laravel/8.4.2目录下)。
dockerfile中