先放一段php代码:
<?php
$filename = $_GET['w'];
if(preg_match("/hacker/", $filename) == 1)
{
echo "hacker";
}
highlight_file('1.php');
?>
看完这段代码后我们想:是不是就真的不能输入"hacker"这个单词。
我们来看一段文档(引用p神文章里的一段内容和两张图片):
- 0x01 正则表达式是什么
正则表达式是一个可以被「有限状态自动机」接受的语言类。
有限状态自动机」,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。
而常见的正则引擎,又被细分为 DFA(确定性有限状态自动机)与 NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是:
DFA: 从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入
NFA:从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态
由于 NFA 的执行过程存在回溯,所以其性能会劣于 DFA,但它支持更多功能。大多数程序语言都使用了 NFA 作为正则引擎,其中也包括 PHP 使用的 PCRE 库。
可以看到NFA引擎执行正则再对我们输入的字符串进行分析匹配的时候,并不是会只执行一次,而是还会进行很多次回溯。
那么如果我们控制恶意的字符串会不会形成一种对针正则匹配的dos攻击呢?
答案是不会。因为PHP 为了防止这种reDOS,特地给 pcre 设定了一个回溯次数上限 pcre.backtrack_limit.
可以用var_dump(ini_get(pcre.backtrack_limit));的方式查看当前环境下的上限。回溯次数上限默认是 100 万,我们来看下:
那问题来了,如果我们超过这个数会怎么样。
<?php
$filename = str_repeat('a',100000000);
var_dump('/<\?.*[(`;?>].*/is',$filename));
highlight_file('1.php');
?>
会输出false.
所有我们完全可以利用此特性来绕过一些网站的waf.
修改方法
如果用 preg_match 对字符串进行匹配,一定要使用===全等号来判断返回值
将(preg_match("/[^a-z.]/", $filename) == 1)
换为(preg_match("/[^a-z.]/", $filename) !== 0)