PbootCMS中利用php-parser绕过正则匹配进行代码执行

最新推荐文章于 2024-02-21 09:03:11 发布
最新推荐文章于 2024-02-21 09:03:11 发布
阅读量379 收藏
点赞数
分类专栏: php代码审计 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45746681/article/details/109599484
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

在代码审计过程中碰见了一个非常有趣的绕过方式,在这里记录下,原文地址是[https://www.cnblogs.com/0daybug/p/13246744.html]

正则绕过方式

正则匹配是
在这里插入图片描述

在函数名和括号之间插入控制字符,如\x01,这样即可绕过该处正则校验,并且可以正常执行php代码,该trick来源于KCon2019的一个议题
在这里插入图片描述
具体做法是在函数()中间插入 \x00到\x20 变成 函数\x00() 依旧可以进行解析

qq_45746681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PbootCMS 前台RCE漏洞复现
课嗨教育的专栏
06-24 214
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要PbootCMS v
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统
banzhuan678的博客
07-06 695
简介: PbootCMS PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。系统采用简单到想哭的模板标签,只要懂HTML就可快速开发企业网站。官方提供了大量网站模板免费下载和使用,将致力于为广大开发者和企业提供最佳的网站开发建设解决方案。 系统采用高效、简洁、强悍的模板标签,只要懂HTML就可快速开发企业网站; 系统采用PHP语言开发,使用自主研发的高速多层开发框架及缓存技术; 系统默认采用
PbootCms模板怎么写PHP代码
wuzhiqiang6891的专栏
12-09 709
模板php代码 PbootCms执行PHP代码有2种方式, /*方法一*/{php} echo Hello Word! {/php}/*方法二*/?php echo Hello China!; ? 由于 PbootCms的模板 机制,原生php代码是无法对pb标签的值进
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5631
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行
PbootCMS:PbootCMS是全新内核且永久开源免费PHP企业网站开发建设管理系统,是一套高效,简洁,强悍的可免费商业化PHP CMS子系统,能够满足各类企业网站开发建设的需要。到想哭的模板标签,只要懂HTML就可以快速开发企业网站。官方提供的网站模板免费下载和使用,将致力于为广大开发者和企业提供最佳的网站开发建设解决方案
02-14
PbootCMS PbootCMS是全新内核且永久开源免费PHP企业网站开发建设管理系统,是一套高效,简洁,强悍的可免费商业化PHP CMS源码,能够满足各类企业网站开发建设的需要。系统采用简单到想哭的模板标签,只要懂HTML就可以快速开发企业网站。官方提供的网站模板免费下载和使用,将致力于为广大开发者和企业提供最佳的网站开发建设解决方案。 系统采用高效,简洁,强悍的模板标签,只要懂HTML就可以快速开发企业网站; 系统采用PHP语言开发,使用自主研发的高速多层开发框架及缓存技术; 系统预置采用sqlite轻型数据库,加入PHP空间即可直接使用,可选mysql等数据库,以满足各类存储需求; 系统采用响应式管理后台,满足各类设备随时管理的需要; 系统支持后台在线升级,满足系统及时升级更新的需要; 系统支持内容模型,多语言,自定义表单,筛选,多条件搜索,小程序,APP等功能; 系统支持多种UR
PbootCMS SQL注入漏洞
自强不息
10-06 872
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
dom-parser:使用正则表达式的dom解析器支持浏览器,节点,react-native等
05-01
使用javascript正则表达式的dom解析器。 不需要节点环境或特殊的浏览器!!! 支持react,react-native,vue等... 安装 npm install --save react-native-dom-parser 用法 import DomSelector from 'react-native-...
mail-mime-parser:用PHP编写的电子邮件解析器
05-04
zbateson / mail-mime-parser 可测试且符合PSR要求的邮件mime解析器,可替代PHP的imap *函数和Pear库,以Internet邮件格式 (及更高版本和 )读取消息。 该项目的目标是: 写得好 符合标准但宽容 经过可能的测试 ...
php-parser:NodeJS PHP解析器-提取AST或令牌(PHP5和PHP7)
04-28
此javascript库解析PHP代码并将其转换为AST。 安装 该库随分发: npm install php-parser --save 用法 // initialize the php parser factory class var fs = require ( 'fs' ) ; var path = require ( 'path' ) ;...
php-binlog-parser:用纯PHP实现MySQL Binlog解析器
05-11
《深入理解PHP MySQL Binlog解析器:php-binlog-parser实现详解》 在数据库管理领域,MySQL的Binary Log(简称Binlog)是数据恢复和复制的关键技术。它记录了所有更改数据库状态的事件,使得我们可以从Binlog重建...
php-parser:用Go编写PHP解析器
02-03
-NoVerify是PHP的快速入门工具 -phpgrep是用于语法识别PHP代码搜索的工具使用范例package mainimport ("fmt""os""github.com/z7zmey/php-parser/php7""github.com/z7zmey/php-parser/visitor")func main () {src := ...
Goby漏洞更新 - PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
最新发布
dzqxwzoe的博客
02-21 791
查看Goby更多漏洞:[Goby历史漏洞合集](https://github.com/gobysec/GobyVuls/blob/master/GobyVuls-PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
阿里云提示pbootcms发现后门(Webshell)—Kernel.php文件怎么处理?
weixin_46719548的博客
01-05 2522
pbootcms本身是免费、开源的一套CMS系统,官方也再三强调过免费。所以各位用户不用慌。总之呢,pbootcms有一个核心加密文件。这个加密文件承载了授权码、路由等核心方法。这个加密文件的路径是 /core/basic/Kernel.php,但是呢,由于使用的加密方式等原因,被阿里云判定为了木马文件。最近针对pbootcms的漏洞攻击越来越多,建议大家及时更新pbootcms系统,打好服务器补丁。
“PbootCMS漏洞揭秘:绕过登录检查获取管理员权限“
奇妙的Bug之旅
01-14 2746
PbootCMS是一款基于PHP开发的内容管理系统,提供了丰富的功能和模块,但也存在一些安全漏洞。本文将介绍并详细分析PbootCMS的一个漏洞,同时提供一个完整的实例来展示漏洞的利用过程。本文详细介绍了PbootCMS的一个漏洞,并提供了一个完整的实例来展示漏洞的利用过程。通过了解漏洞的原理和修复方法,我们可以更好地加强系统的安全性,保护网站和用户的信息安全
PbootCMS search SQL注入漏洞
孤桜懶契
07-13 4696
搜索框页面为 ✅ Payload为 https://gylq.gitee.io/time/
PbootCMS XSS漏洞代码审计
afei001
10-05 1337
PbootCMS XSS漏洞代码审计
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
Liyu_6618的博客
02-02 1914
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
保护你的网站:pbootcms漏洞修复详解
奇妙的Bug之旅
01-14 1752
通过升级pbootcms版本、修复已知漏洞、加强用户认证、输入验证和过滤以及安全的数据库操作,我们可以大大提高pbootcms系统的安全性。然而,安全是一个动态过程,我们应该时刻保持警惕并跟踪最新的安全漏洞和修复方法。同时,我们还应该过滤用户输入,以删除潜在的恶意代码。首先,我们需要确保我们使用的pbootcms版本是最新的。漏洞通常是通过已知的软件漏洞进行攻击的。因此,通过升级到最新版本,我们可以避免已知漏洞的风险。数据库操作是一个网站的核心功能,同时也是最容易受到注入攻击的地方之一。
laravel php-simple-html-dom-parser
08-25
Laravel是一个流行的PHP框架,它提供了许多便捷的功能和工具,用于开发现代化的Web应用程序。它具有优雅的语法和强大的扩展性,使得开发人员可以轻松构建功能丰富的应用程序。 另一方面,php-simple-html-dom-parser是一个强大的HTML解析器,用于从HTML文档提取数据。它简化了HTML文档的解析过程,并提供了易于使用的方法和函数来操作文档的各个部分。 Laravel与php-simple-html-dom-parser可以很好地配合使用。当我们在Laravel应用程序需要从外部网页或HTML文档提取数据时,可以使用php-simple-html-dom-parser来完成这个任务。它可以轻松地解析HTML文档,并提供了一个简单而灵活的API来获取和操作HTML元素的内容。 例如,如果我们想要从一个新闻网站提取标题和内容,我们可以使用php-simple-html-dom-parser来解析HTML文档,然后使用Laravel的数据库和视图功能来保存和展示这些数据。这种组合可以帮助我们快速、方便地实现这个功能。 总而言之,Laravel和php-simple-html-dom-parser是两个非常有用的工具,在PHP开发具有广泛的应用。它们的结合可以提供极大的便利和效率,使得从HTML文档提取数据变得简单且高效。无论是构建Web应用程序还是处理网页数据,这两个工具都能在开发过程发挥重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值