目录
例子代码
<?php
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
preg_replace 使用了 /e 模式,导致了代码可以被执行,php7.3 版本之前 preg_replace使用/E模式,都会导致代码执行,preg_replace 在匹配到正则符号后就会被替换字符串,这时 上面例子中'strtolower("\\1")'代码会被执行。
'strtolower("\\1")'里面的\\1的意思就是将\1转义后的显示,\1
代表正则表达式中的第一个捕获组,strtolower
函数将这个捕获组的内容转换为小写。
payload构造及解释
在上述代码中我们通过GET传参,注入payload,我们在匹配输入字符串时可能回想到“.*”,但是由于”.*“中的”.“在PHP中会被转换为_所以这个正则不可以使用。
所以我们需要换一个正则表达式来替换使用\S*
然后我们输入payload
?\S*={${phpinfo()}}
上面代码输入”.*“解释过了,但是为什么要这样输入{${phpinfo()}注入代码,我们现在来解释以下
php中有一个可变变量的概念,在PHP中被双引号包裹的字符串可以当作变量解析,也就是进行代码执行,下面执行的函数中包含的是双引号,所以可以解析变量
strtolower("\\1")
所以可以执行变量量${phpinfo()}
http://127.0.0.1:9999/test/%20?\S*=${phpinfo()}