Symfony

1. Symfony Debug 检测

https://github.com/synacktiv/eos
有一个专门利用此场景的工具 EOS (此工具就是Synacktiv出品的)

 git clone https://github.com/Synacktiv/eos
 python3 -m pip install /opt/eos

┌──(root㉿kali)-[~/Desktop/htb/SYNACKTIV]
└─# eos scan http://dev.hackfail.htb

SYNACKTIV > 1.3.1. EOS enum

2. 利用APP_secret rce

  1. /_fragment 端点允许通过 _path 参数指定任意 PHP 函数/方法作为控制器
  2. 请求必须用 APP_SECRET 做 HMAC-SHA256 签名(_hash 参数)
  3. 签名 = base64(hmac_sha256(sorted_full_url, secret))

https://blog.lexfo.fr/symfony-secret-fragment.html
https://github.com/ambionics/symfony-exploits

获取secret:

  • app/config/parameters.yml
  • .env
  • 也可以在_profiler/phpinfo 页面中获取到(其会以APP_SECRET变量的形式存储在env中)

SYNACKTIV > 1.4.1. APP_secret