Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面我们来详细的分析漏洞,以及如何利用,漏洞修复等三个方面进行全面的记录.
该Laravel REC漏洞的利用是需要条件的,必须满足APP_KEY泄露的情况下才能成功的利用与触发,我们SINE安全技术在整体的漏洞测试与复现过程里,共发现2个地方可以导致网站漏洞的发生,第一个是Post数据包里的cookies字段,再一个是HTTP header字段可以插入恶意的共计代码到网站后端中去.
我们来搭建一下网站漏洞测试的环境,使用linux centos系统,PHP5.5版本,数据库是mysql,使用apache环境来搭建,使用的Laravel版本为5.6.28.首先我们去官方下载该版本,并解压到apache设置的网站目录路径.首先我们post数据过去可以看到我们代码里,会调用十几个类,并将类里的对象进行调用,参数赋值,而在cookies和verifycsrftoken值里发现可以使用app_key进行漏洞利用,首先我们使用cookies来复现看下:
代码如下:
POST / HTTP/1.2
Host: 127.0.0.2:80
Cookie: safe_SESSION=PHPSTORM; 5LqG5L+d6K+B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==;
Content-Type: application/x-www-form-
Connection: open
Content-Length: 1
上面的代码中在cookies栏里.加密的值就是我们要伪造的攻击代码,将该POST请求提交到网站中去,首先会对APP_key进行解密并赋值过去,如果解密成功的话, 哪么就会效验cookies里的值,并对其进行反序列的操作,进而导致漏洞的发生,就会触发RCE漏洞了.
http header方式的漏洞利用,我们漏洞测试一下,首先也是构造跟cookies差不多的代码,如下:
POST / HTTP/1.2
Host: 127.0.0.2:80
X-XSRF-TOKEN: +B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==;
Content-Type: application/x-www-form-
Connection: open
Content-Length: 1
这里看这个X-XSRF-TOKEN:值,Laravel 框架在提交过程中会去判断并效验这个值,如果解密成功就会进行反序列化的操作,这里就不再一一的介绍与解释了.
那如何对Laravel的漏洞进行修复?
我们对Laravel的版本进行升级发现,最新的5.6.30版本已经对该rce漏洞进行了修复,在我们对代码的比对中看出,对cookies的解密并解析操作进行了判断,多写了static::serialized() 值,同样的在X-XSRF-TOKEN里也加入了这个值.如果您对代码不是太懂的话,也可以找专业的网站安全公司来进行修复,针对于Laravel的网站漏洞检测与测试就到此,也希望通过这次的分享,让更多的人了解网站漏洞,漏洞的产生原因,以及该如何修复漏洞,网站安全了,我们才能放开手脚去开拓市场,做好营销.
推荐阅读:西安视窗
-
小胖机器人AI双教引热潮,亮相第77届中国教
10月12日, 由中国教育装备行业协会主办,山东省教育厅、青岛市人民政府承办的第77届中国教育装备展示会在青岛世博城国际展览中心召开。做为国内教育机器人品牌,小...
2019-10-17 -
中国移动成为今年世界互联网大会唯一一家通信运
10月20日,第六届世界互联网大会将在浙江乌镇正式拉开帷幕,这将是乌镇举办世界互联网大会的第六个年头。今年有11家企业成为本届大会的合作伙伴,其中中国移动浙江公...
2019-10-17 -
爱奇艺“潮”前走,明年上这些“菜”
一年一度的爱奇艺营销盛会——爱奇艺iJOY“悦享会”又在魔都上海举办。面对国内外各种经济压力,很多人都说“今年太难了”,各家广告主口袋里的预算变得更加宝贵,投放...
2019-10-17 -
小米猫耳朵全面屏专利曝光,萌萌哒,这样的审美
今年的小米没有坐以待毙了,不是一如往常的专注于手机的极致性价比,还有线上线下的营销趋势,而是更多地拿出自己的核心技术,开提升自己品牌的知名度和权威性,小米MIX...
2019-10-17 -
培养AI人才 2019百度之星决赛获奖者玩转
随着AI行业的快速发展,优秀的年轻AI人才不断涌现。百度作为中国人工智能人才培养业界领军者,一直积极向学界输送教育资源,为其提供必备的“弹药与干粮”。10月15...
2019-10-17 -
北极星1已量产,售145万元,纯电续航150
Polestar 1翻译中文意为北极星1。1957年沃尔沃试图推出一款跑车,能够在美国和欧洲市场上与其他品牌跑车竞争的产品。1960年9月首台P1800跑车正式...
2019-10-17 -
攻占5亿下沉市场用户,京东双十一用这两招,拼
超级百亿补贴千亿优惠、12亿件低价好物、2亿件反向定制产品、PLUS会员至少省90亿元……10月15日,11.11京东全球好物节启动发布会在北京举行。此次京东1...
2019-10-17 -
想前瞻未来世界?或许你应该2019中关村论坛
世界首款包裹表面的有机液晶显示器、实时3D面部表情捕捉技术、仿生自主攀爬检测机器人…..在2019中关村论坛重要内容的中关村国际前沿科技成果展上,微软、英特尔、...
2019-10-17