名称: laravel 远程代码执行 (CVE-2021-3129)
描述: Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
测试环境:linux
在vulfocus上启动一个测试环境:
使用下列已经写好的测试脚本即可:
需要注意的是,这个执行脚本只支持在MacOS下执行,如果需要在linux下执行,还需要修改脚本中 base64 -b0为base64 -w0 即可:
执行结果如下:
