CVE-2019-9081 Laravel v5.7反序列化RCE漏洞复现

0X1 漏洞概述

最近在复现一些AWD线下赛环境，恰好看见有大佬放出的QWB的一道关于Laravel v5.7的反序列化漏洞的利用过程文章。今天特地将此CVE-2019-9081漏洞还原复现。

Laravel v5.7是一款基于php 7.1.3之上运行的优秀php开发框架，5.7.x版本中的Illuminate组件存在反序列化漏洞。

0X2 环境搭建

Laravel通过composer安装搭建。在此我们直接选择比赛时的源码环境进行本地运行，使用环境配置如下：

  系统：Ubuntu16.04
  PHP：PHP7.3
  HTTP：Apache2

开启Apache2之后，将PHP切换到PHP7.3，因为7.2编译过程没有使用OpenSSL，所以后续会报错，因此下载源码包安装了最新的PHP7.3，所以使用命令如下：

＃禁用Apache中的PHP7.2
sudo a2dismod php7.2
＃启用PHP7.2
sudo a2enmod php7.3

接下来使用命令：php7.3 artisan serve启动服务测试：

在浏览器中可以访问证明环境ok。

漏洞发现作者已经在routes/web.php中添加一条路由：

Route::get('/index', 'TaskController@index');

接下来在app/Http/Controllers文件夹下创建文件TaskController.php，源码如下:

通过上一条路由我们在访问入口文件即可连接过来。

0X3 漏洞利用

漏洞分析过程在此不再赘述，具体详情可查看原作者博客。我们通过浏览器访问环境

http://172.16.1.137/laravel-5.7/public/index.php/index?code

其中code参数的值就是我们要传入的反序列化代码。如下图所示，根据漏洞出处的组件跟踪漏洞位置在__destruct()函数中。

贴出作者给的exp脚本：

然后利用该脚本生成反序列化数据：

运行该脚本得到数据，如下图所示。

访问刚才的连接，传入反序列化exp数据值，如下图所示，得到结果：

漏洞利用成功！

0X4 漏洞修复

删除__destruct中的$this->run()代码段即可。

0X5 参考文章

https://xz.aliyun.com/t/5510

https://laworigin.github.io/2019/02/21/laravelv5-7%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96rce/