针对 CVE-2018-15133 的 Laravel 漏洞利用
此代码利用 ,它基于和对该漏洞。 我几乎只是为一个盒子做了这个,因为我现在不想使用 Metasploit,也不想作为练习 Python 的借口。
来自 CVE 的描述:
在 Laravel Framework 到 5.5.40 和 5.6.x 到 5.6.29 中,远程代码执行可能由于对潜在不可信 X-XSRF-TOKEN 值的反序列化调用而发生。 这涉及到 Illuminate/Encryption/Encrypter.php 中的解密方法和 phpggc 中 gadgetchains/Laravel/RCE/3/chain.php 中的 PendingBroadcast。 攻击者必须知道应用程序密钥,这通常不会发生,但如果攻击者之前拥有特权访问权限或成功完成之前的攻击,则可能会发生。
安装依赖:
pip ins
评论0
最新资源