在php里面有一些函数将输入的字符串参数当作PHP程序代码来执行
常见代码执行函数:
eval 、assert 、preg_replace
eval代码执行注入
test.php如下
<?php
if(isset($_GET['rayi'])){
$rayi=$_GET['rayi'];
eval("\$rayi = $rayi;");
}
?>
assert 代码执行注入
test.php如下
<?php
if(isset($_GET['rayi'])){
$rayi=$_GET['rayi'];
assert("\$rayi = $rayi;");
}
?>
preg_replace正则代码执行注入
当 pattern 中存在/e 模式修饰符,即允许执行代码(新版的php已废除)。
比如:
<?php
preg_replace ("/(</?)(w+)([^>]*>)/e",
"\1.strtoupper(\2).\3",
$html_body);
?>
pattern第一个参数
<?php
echo $regexp = $_GET['reg'];
$var = '<php>phpinfo()</php>';
preg_replace("/<php>(.*?)$regexp", '\\1', $var);
?>
-
.*?
表示匹百配任意字符到下一个符合条件的字符
例子:正则表达式a.*?xxx 可以匹配 abxxx axxxxx abbbbbxxx
replacement 第二个参数 -
preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
该函数在字符串subject中匹配表达式pattern,并将匹配项替换成字串replacement。如果有参数limit,则替换limit次。 -
\\1
这里是反向引用,就是依靠子表达式的记忆功能来匹配连续出现的字串或字母。表达式在匹配时,表达式引擎会将小括号 “( )” 包含的表达式所匹配到的字符串记录下来。在获取匹配结果的时候,小括号包含的表达式所匹配到的字符串可以单独获取。 -
\
是转义字符,\\
第1个\
代表转译符,\
这个符号不能直接出现在表达式里,必须被\
转译符后道才能变成一个普通的字符\
,“\1”
引用第1对括号内匹配到的字符串,”\2”
引用第2对括号内匹配到的字符串。 -
如果一对括号内包含另一对括号,则外层的括号先排序号。换句话说,哪一对的左括号
“(“
在前,那这一对为先。在正则(.+)\1
中,\1
等于(.+)
中匹配到的值,也就是连续2次相同的值。 -
如匹配连续两个it,首先将单词it作为分组,然后再后面加上“\1”即可,格式为:
(it)\1
replacement第二个参数
<?php
preg_replace("/x/e",$_GET['h'],"I love x");
?>
提交http://127.0.0.1/test.php?h=phpinfo()时,执行phpinfo()。
preg_replace()第三个参数
<?php
preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $_GET['xxxx']);
?>