环境建立
运转环境要求
PHP >= 7.1.3
OpenSSL PHP Extension
PDO PHP Extension
Mbstring PHP Extension
装置标题环境

运转标题代码

更多请参阅：https://laravel-china.org/docs/lumen/5.7/installation/2402
PS：更新P牛制造的docker环境 https://github.com/phith0n/code-breaking
 
缝隙点
在 routes/web.php 文件中，界说了 web 程序的路由，当咱们以 GET 或 POST 办法拜访 http://website/server/editor 的时分，程序就会调用 app/Http/Controllers/EditorController.php 类中的 main 办法。

咱们从而看 app/Http/Controllers/EditorController.php 文件，很快便会发现有一个 download 办法中的 $url 变量没有通过任何处理用在了 file_get_contents 函数中， download 办法代码如下：

这时咱们便考虑 $url 变量是否可控，假如可控，便能够使用 phar反序列化 。咱们回溯寻觅 $url 变量来历，会发现在 doCatchimage 办法中，该变量值是从 $sources 变量来。而 $sources 变量由用户传来的 source 参数决议（通过 http://website/server/editor/?action=Catchimage&source[]=phar://xxx.gif 即可操控 $url 变量），相关代码如下：

那么接下来，咱们就要寻觅可使用的类办法，然后通过 phar反序列化 触发缝隙。
 
了解PHPGGC
在寻觅 pop链 之前，咱们无妨先看看 phpggc 中已有的 4种 关于 Laravel 结构 RCE 的 payload 生成办法，以便咱们更快速的找出本题的 pop链 ，其 4种 Laravel 结构 RCE 的 payload 生成办法别离如下：
第1种

其反序列化时，类办法调用进程如下：

第2种

其反序列化时，类办法调用进程如下：

第3种

其反序列化时，类办法调用进程如下：

第4种

其反序列化时，类办法调用进程如下：

这儿我选取 第1种 的 phar反序列化 履行成果图（标题环境为 PHP7.1.16 ）：

但是本标题的环境还有一些额定的约束，例如 PHP 版别为 7.2.14 ，且禁用了如下函数和类（这些信息通过 phpggc 的第一个 Laravel 结构 RCE 生成 phpinfo 函数的使用 phar 即可看到）：
disable_functions：
system,shell_exec,passthru,exec,popen,proc_open,pcntl_exec,mail,apache_setenv,mb_send_mail,dl,set_time_limit,ignore_user_abort,symlink,link,error_log
disable_classes：
GlobIterator,DirectoryIterator,FilesystemIterator,RecursiveDirectoryIterator
因为在 PHP7.x 版别中，许多函数制止动态调用了，加上上面的这些约束，所以咱们还需要寻觅其他使用点，结合上述 POP 链，完结写 shell 。
 
开端寻觅pop链
咱们能够发现上面的4种 RCE 进口点都是从 PendingBroadcast 类的 __destruct 办法开端的，那么咱们侧重搜索 dispatch 办法和 __call 办法。通过一番搜索，发现 ValidGenerator 类中的 __call 比较好使用。

[1] [2] [3]  黑客接单网