PbootCMS中利用php-parser绕过正则匹配进行代码执行

最新推荐文章于 2024-04-09 10:30:20 发布
最新推荐文章于 2024-04-09 10:30:20 发布
阅读量379 收藏
点赞数
分类专栏: php代码审计 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45746681/article/details/109599484
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

在代码审计过程中碰见了一个非常有趣的绕过方式,在这里记录下,原文地址是[https://www.cnblogs.com/0daybug/p/13246744.html]

正则绕过方式

正则匹配是
在这里插入图片描述

在函数名和括号之间插入控制字符,如\x01,这样即可绕过该处正则校验,并且可以正常执行php代码,该trick来源于KCon2019的一个议题
在这里插入图片描述
具体做法是在函数()中间插入 \x00到\x20 变成 函数\x00() 依旧可以进行解析

qq_45746681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PbootCMS 前台RCE漏洞复现
课嗨教育的专栏
06-24 213
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要PbootCMS v
dom-parser:使用则表达式的dom解析器支持浏览器,节点,react-native等
05-01
使用javascript则表达式的dom解析器。 不需要节点环境或特殊的浏览器!!! 支持react,react-native,vue等... 安装 npm install --save react-native-dom-parser 用法 import DomSelector from 'react-native-...
PbootCMS漏洞揭秘:绕过登录检查获取管理员权限“
奇妙的Bug之旅
01-14 2746
PbootCMS是一款基于PHP开发的内容管理系统,提供了丰富的功能和模块,但也存在一些安全漏洞。本文将介绍并详细分析PbootCMS的一个漏洞,同时提供一个完整的实例来展示漏洞的利用过程。本文详细介绍了PbootCMS的一个漏洞,并提供了一个完整的实例来展示漏洞的利用过程。通过了解漏洞的原理和修复方法,我们可以更好地加强系统的安全性,保护网站和用户的信息安全。
like 匹配字符
Vulpes corsac
08-29 2976
like 匹配/模糊匹配 关键字:LIKE(NOT LIKE) 表达式:WHERE column_name LIKE str_name %:表示任意 0 个或多个字符。可匹配任意类型和长度的字符,有些情况下若是文,请使用两个百分号(%%)表示。 _:表示任意单个字符。匹配单个任意字符,它常用来限制表达式的字符长度语句。 '%str' //以str结尾的数据; 'str%' ...
网络安全如何绕过前端验证的功能
xs9716的博客
01-25 815
绕过前端验证
PbootCMS search SQL注入漏洞
孤桜懶契
07-13 4696
搜索框页面为 ✅ Payload为 https://gylq.gitee.io/time/
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5631
PbootCMSPbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行
mail-mime-parser:用PHP编写的电子邮件解析器
05-04
zbateson / mail-mime-parser 可测试且符合PSR要求的邮件mime解析器,可替代PHP的imap *函数和Pear库,以Internet邮件格式 (及更高版本和 )读取消息。 该项目的目标是: 写得好 符合标准但宽容 经过可能的测试 ...
php-parser:NodeJS PHP解析器-提取AST或令牌(PHP5和PHP7)
04-28
此javascript库解析PHP代码并将其转换为AST。 安装 该库随分发: npm install php-parser --save 用法 // initialize the php parser factory class var fs = require ( 'fs' ) ; var path = require ( 'path' ) ;...
php-binlog-parser:用纯PHP实现MySQL Binlog解析器
05-11
《深入理解PHP MySQL Binlog解析器:php-binlog-parser实现详解》 在数据库管理领域,MySQL的Binary Log(简称Binlog)是数据恢复和复制的关键技术。它记录了所有更改数据库状态的事件,使得我们可以从Binlog重建...
php-parser:用Go编写PHP解析器
02-03
-NoVerify是PHP的快速入门工具 -phpgrep是用于语法识别PHP代码搜索的工具使用范例package mainimport ("fmt""os""github.com/z7zmey/php-parser/php7""github.com/z7zmey/php-parser/visitor")func main () {src := ...
保护你的网站:pbootcms漏洞修复详解
奇妙的Bug之旅
01-14 1752
通过升级pbootcms版本、修复已知漏洞、加强用户认证、输入验证和过滤以及安全的数据库操作,我们可以大大提高pbootcms系统的安全性。然而,安全是一个动态过程,我们应该时刻保持警惕并跟踪最新的安全漏洞和修复方法。同时,我们还应该过滤用户输入,以删除潜在的恶意代码。首先,我们需要确保我们使用的pbootcms版本是最新的。漏洞通常是通过已知的软件漏洞进行攻击的。因此,通过升级到最新版本,我们可以避免已知漏洞的风险。数据库操作是一个网站的核心功能,同时也是最容易受到注入攻击的地方之一。
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
Liyu_6618的博客
02-02 1914
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
未公开1day-PbootCMS前台存在信息泄露
最新发布
weixin_43167326的博客
04-09 1182
PbootCMS是一款开源的内容管理系统,致力于简化网站建设过程。它基于PHP语言和MySQL数据库,提供了丰富的功能和易用的界面,包括内容管理、用户权限管理、模板系统、插件扩展等。PbootCMS具有高度可定制性,用户可以根据自己的需求进行定制和扩展。同时,它还具有响应式设计,能够适应不同设备的显示,为用户提供优秀的浏览体验。
PbootCMS SQL注入漏洞
自强不息
10-06 872
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
pbootcms被黑木马问题(3)
三丰的博客
02-20 2988
最后不得不说的就是人家确实牛逼,15号被挂的马,17号的时候百度上已经被更新成对方的信息了,要是我们自己修改一次信息没有个一个月的时间是更新不出来的。3)针对pb做一些简单的防止被批量扫码的设置。也能避免一些被扫的风险。
Goby漏洞更新 - PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
dzqxwzoe的博客
02-21 791
查看Goby更多漏洞:[Goby历史漏洞合集](https://github.com/gobysec/GobyVuls/blob/master/GobyVuls-PbootCMSPbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。3.1.2版本存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
记pbcms网站被攻击,很多标题被篡改(1)
我的博客
12-25 2390
记一次pbcms网站被攻击,很多标题被篡改
laravel php-simple-html-dom-parser
08-25
Laravel是一个流行的PHP框架,它提供了许多便捷的功能和工具,用于开发现代化的Web应用程序。它具有优雅的语法和强大的扩展性,使得开发人员可以轻松构建功能丰富的应用程序。 另一方面,php-simple-html-dom-parser是一个强大的HTML解析器,用于从HTML文档提取数据。它简化了HTML文档的解析过程,并提供了易于使用的方法和函数来操作文档的各个部分。 Laravel与php-simple-html-dom-parser可以很好地配合使用。当我们在Laravel应用程序需要从外部网页或HTML文档提取数据时,可以使用php-simple-html-dom-parser来完成这个任务。它可以轻松地解析HTML文档,并提供了一个简单而灵活的API来获取和操作HTML元素的内容。 例如,如果我们想要从一个新闻网站提取标题和内容,我们可以使用php-simple-html-dom-parser来解析HTML文档,然后使用Laravel的数据库和视图功能来保存和展示这些数据。这种组合可以帮助我们快速、方便地实现这个功能。 总而言之,Laravel和php-simple-html-dom-parser是两个非常有用的工具,在PHP开发具有广泛的应用。它们的结合可以提供极大的便利和效率,使得从HTML文档提取数据变得简单且高效。无论是构建Web应用程序还是处理网页数据,这两个工具都能在开发过程发挥重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值