PHP中一个有趣的preg_replace函数详解


Posted in PHP onAugust 15, 2018

0x01 起因

事情的起因是下午遇到了 preg_replace 函数,我们都知道 preg_replace 函数可能会导致命令执行。现在我们来一些情况。

0x02 经过

踩坑1:

测试代码大概是这样的:

foreach ($_GET as $regex => $value) {
 preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);
}

测试过程中发现通过浏览器的方式传入数据的时候,会将 . + 等特殊字符转换为 _ 。

PHP中一个有趣的preg_replace函数详解

PHP中一个有趣的preg_replace函数详解

这里涉及到了php的一个特性

php自身在解析请求的时候,如果参数名字中包含空格、.、[等字符,会将他们转换成_。

<?php
$a = $_GET;
var_dump($a);
?>

PHP中一个有趣的preg_replace函数详解

经过我的fuzz,结果如下图:

PHP中一个有趣的preg_replace函数详解

踩坑2:

那我们知道 preg_replace 的 /e 修正符会将 replacement 参数当作 php 代码,并且以 eval 函数的方式执行,前提是 subject 中有 pattern 的匹配。既然是这样我们看一张图。

PHP中一个有趣的preg_replace函数详解

图中实际上通过 eval 执行的是 strtolower 函数。分别实际执行的是:

strtolower("JUST TEST");
strtolower("PHPINFO()");
strtolower("{${PHPINFO()}}");

第三个之所以可以执行代码,是因为我们通过复杂(花括号)语法的方式来让其代码执行。

踩坑3:

回到源代码中,我们再理解一下:

foreach ($_GET as $regex => $value) {
 preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);
}

这里的 replacement 是 strtolower(“\\1”) ,着重理解一下 \\1 。

每个这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n可以是0-99,\0和\$0代表完整的模式匹配文本。

假设一个正则表达式是这样的:

preg_replace('/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i', '$1$2$4', $url . '&');

这里的 \$1\$2\$4 等同于上面的 \1\2\4 的作用,因此我们看一下是怎么选择匹配的。

$1 $2   $3 $4
'/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i'

0x03 解决

好了上面都已经铺垫完坑了,这里要开始解决了。

foreach ($_GET as $regex => $value) {
 preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);
}

我们想要让这部分代码达到代码执行的效果需要达到几个条件:

  • pattern 部分的表达式需要命中 \$value 中的数据
  • \1 中取出的数据复杂(花括号)语法的特征,来保证在双引号的包含下达到代码执行的效果
  • 由于php的特性url会将 . 、 [ 、 + 等特殊字符转换为 _ 。

我们知道这里是通过 get 方式获取到 \$regex 和 \$value 的,要想在 replacement 部分通过 \1 截取到 pattern 正则匹配命中 \$value 中的数据,并且携带 \$ 、 { 、 ( 这里就涉及到正则表达式的使用了。

这里我选择了 \S ,也就是匹配任意的非空白字符,那么最后的payload长这样

\S*()={${phpinfo()}}

PHP中一个有趣的preg_replace函数详解

PHP中一个有趣的preg_replace函数详解

0x04 后记

其实还有点小问题,我这边没有写,不过大家可以看看这个深入研究preg_replace与代码执行。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
用PHP动态生成虚拟现实VRML网页
Oct 09 PHP
PHP simple_html_dom.php+正则 采集文章代码
Dec 24 PHP
php设计模式 Proxy (代理模式)
Jun 26 PHP
redis 队列操作的例子(php)
Apr 12 PHP
php中如何判断一个网页请求是ajax请求还是普通请求
Aug 10 PHP
ThinkPHP中I(),U(),$this-&gt;post()等函数用法
Nov 22 PHP
Laravel 5框架学习之向视图传送数据
Apr 08 PHP
浅谈PHP的排列组合(如输入a,b,c 输出他们的全部组合)
Mar 14 PHP
PHP错误处理函数register_shutdown_function使用示例
Jul 03 PHP
通过PHP设置BugFree获取邮箱通知
Apr 25 PHP
使用laravel的Eloquent模型如何获取数据库的指定列
Oct 17 PHP
解决Laravel使用验证时跳转到首页的问题
Nov 17 PHP
PHP使用curl_multi_select解决curl_multi网页假死问题的方法
Aug 15 #PHP
php+croppic.js实现剪切上传图片功能
Aug 14 #PHP
PHP设计模式之委托模式定义与用法简单示例
Aug 13 #PHP
PHP设计模式之建造者模式定义与用法简单示例
Aug 13 #PHP
PHP设计模式之装饰器模式定义与用法简单示例
Aug 13 #PHP
PHP实现的ID混淆算法类与用法示例
Aug 10 #PHP
PHP+ajax实现二级联动菜单功能示例
Aug 10 #PHP
You might like
给初学PHP的5个入手程序
2006/11/23 PHP
PHP面向对象分析设计的经验原则
2008/09/20 PHP
Symfony2安装的方法(2种方法)
2016/02/04 PHP
基于PHP生成简单的验证码
2016/06/01 PHP
PHP编程获取图片的主色调的方法【基于Imagick扩展】
2017/08/02 PHP
PHP根据key删除数组中指定的元素
2019/02/28 PHP
定位地理位置PHP判断员工打卡签到经纬度是否在打卡之内
2019/05/23 PHP
js 获取、清空input type=&quot;file&quot;的值(示例代码)
2013/12/24 Javascript
javascript模拟C#格式化字符串
2015/08/26 Javascript
self.attachevent is not a function的解决方法
2017/04/04 Javascript
JavaScript中数组常见操作技巧
2017/09/01 Javascript
JS实现的按钮点击颜色切换功能示例
2017/10/19 Javascript
vue2.0 循环遍历加载不同图片的方法
2018/03/06 Javascript
重新认识vue之事件阻止冒泡的实现
2018/08/02 Javascript
koa2实现登录注册功能的示例代码
2018/12/03 Javascript
JavaScript实现学生在线做题计时器功能
2018/12/05 Javascript
[02:38]DOTA2亚洲邀请赛 IG战队巡礼
2015/02/03 DOTA
python2.7到3.x迁移指南
2018/02/01 Python
Python实现的knn算法示例
2018/06/14 Python
Python模块的定义,模块的导入,__name__用法实例分析
2020/01/07 Python
浅谈django channels 路由误导
2020/05/28 Python
Django serializer优化类视图的实现示例
2020/07/16 Python
基于CSS3实现立方体自转效果
2016/03/01 HTML / CSS
吉列剃须刀美国官网:Gillette美国
2018/07/13 全球购物
幼儿园教师培训制度
2014/01/16 职场文书
求职简历中自我评价
2014/01/28 职场文书
新春联欢会主持词
2014/03/24 职场文书
校园文明倡议书
2014/05/16 职场文书
加强作风建设工作总结
2014/10/23 职场文书
民间借贷纠纷起诉书
2015/08/03 职场文书
暑假打工感想
2015/08/07 职场文书
小组口号霸气押韵
2015/12/24 职场文书
jquery插件实现搜索历史
2021/04/24 jQuery
jackson json序列化实现首字母大写,第二个字母需小写
2021/06/29 Java/Android
如何利用golang运用mysql数据库
2022/03/13 Golang
5个实用的JavaScript新特性
2022/06/16 Javascript