记一次挖掘SRC 利用laravel配置不当进数据库

0x00 前言

0x01 文件上传失败

弱口令进去之后肯定尝试最方便快捷的文件上传，找到一个上传点

直接上传jpg后缀的php一句话，但是返回500，返回包提示要jpg，png，gif等文件才能上传，此处为白名单限制。

白名单绕过有三种方法：

• 配合web容器的解析漏洞，%00 截断，上传绕过文件头内容检测绕过

这里正常上传文件名后缀及文件类型都会报错，问题显然出现在文件内容上。

当白名单限制了文件头时，我们就要给我们的文件制造可以通过检测的文件头即可：CGIF89a <?php phpinfo(); ?>

此处换上gif的文件头时，返回包提示变了，说无法从文件中解码图像，似乎是需要正确解码才能正常上传。

这里不由的想到图片马，如果后缀可以为jsp、php等，但是内容必须为图片，那么可以用图片马来进行getshell。

但是此处上传的文件名后缀无法左右上传成功的文件名的形成，最后还是会被强制更名为jpeg。此站的中间件nginx为1.16.1，应该可以利用解析漏洞。可配合解析漏洞以php来解析。上传成功返回路径访问时在最后加上xx.php,解析漏洞会让其以php来解析

上传后能正常访问

利用解析漏洞时让其以php解析文件时，却显示拒绝访问，初步判断应该是设置了web用户没权限访问除了本身就有的文件外的php文件，那就没法儿了。

另一个上传点，这个Ueditor要是.net的站也有任意文件上传漏洞，这里是php的，上传试一下

成功！和刚才不一样，返回了php文件的地址！先访问一下，凉凉

把状态码的Unicode编码解码一下

好家伙，类型不允许，还返回一个地址，逗我玩呢。

继续上传一个后缀为jpg的一句话，故技重施，果然还是不行。

此处就文件上传而言陷入了僵局，跑去找朋友聊了聊，把数据包也发他让他试试，他本能的先访问文件上传的那个url，打开还截图问我这是啥，它是一个报错页面，(当时他不太了解这个洞，我也是在之前没事就观摩大佬们写的报告里学到的漏洞，现在遇到了就觉得有点眼熟)仔细一瞧，结果直接爆出一个惊喜。

0x02 laravel框架配置不当导致敏感数据泄露

• laravel框架因配置不当会泄露MySQL，Redis，Elastic，Mongodb，neo4j，postgresql，SQLServer，Oracle，Firebird，sqlite，mail账号密码和APP_KEY等敏感信息。

此处因为他没有登录就访问这个需要登录的url，所以报错，触发了laravel的debug模式。

查了些资料，此漏洞的检测方法也很简单，只要发现目标是laravel框架的，不管三七二十一，先测一波。在登录页面抓包(其他页面也行，只要报错就行)修改其HTTP方法，比如把GET换为PUT,POST，触发debug模式就行。

http://X.X.X.X/admin/upload_img/article_cover

通过泄露的mysql账号密码能成功连接数据库(此站我是直接通过ip访问的，所以连接不需要去找真实IP，如果不知道真实ip，或者3306没开启，亦或者连接地址不出网都没法连接数据库)

拿到MySQL账号密码后，本来想写webshell的，但是secure_file_priv为指定目录，没法直接写。用写日志的方法写的shell也是像之前那样没法儿用web用户访问到。这里请一位大佬帮忙看了下，他说：我试了一下可以把日志文件修改成它本身就有的文件，这样就有权限访问，只是只能找有完整php声明的文件，因为它追加时会有一些信息导致语法错误报错,目前没找到合适的文件追加，所以没成。

Shell虽然没拿到，但laravel框架配置不当的危害很大，在我后续的测试中，发现大量laravel框架的网站存在此漏洞，可以通过泄露的各种信息getshell，这文章拖了很久，就是再做后续测试，后续我会再出针对此漏洞更进一步的公益SRC漏洞挖掘的文章。

出自：https://www.freebuf.com/articles/web/341855.html

关注及时推送最新安全威胁资讯！

「免责声明：由于传播、利用本公众号Gaobai文库所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，Gaobai文库及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉，望师傅们谅解。谢谢！」