CVE-2021-3129(Mac环境) 复现

名称: laravel 远程代码执行 (CVE-2021-3129)

描述: Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。 Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。

测试环境:linux

在vulfocus上启动一个测试环境:

使用下列已经写好的测试脚本即可:

需要注意的是,这个执行脚本只支持在MacOS下执行,如果需要在linux下执行,还需要修改脚本中 base64 -b0为base64 -w0 即可:

执行结果如下: