CVE-2017-16894复现
漏洞原理
在laravel框架的.env配置文件中,默认调试功能debug是开启的。当使程序报错时。在前台会返回报错详情、环境变量、服务器配置等敏感信息。
复现过程
使用burp抓包
将GET修改为POST,并输入1=2让程序报错,并搜索flag
CVE-2017-16894复现
在laravel框架的.env配置文件中,默认调试功能debug是开启的。当使程序报错时。在前台会返回报错详情、环境变量、服务器配置等敏感信息。
使用burp抓包
将GET修改为POST,并输入1=2让程序报错,并搜索flag