preg_replace漏洞e模式函数执行

关于PHP函数preg_replace \e 模式函数执行漏洞

preg_replace：

​ 该函数执行一个正则表达式的搜索和替换。

​ 语法：

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

​ 搜索subject中匹配pattern的部分，以replacement进行替换。

​ 参数说明：

• $pattern: 要搜索的模式，可以是字符串或一个字符串数组。
• $replacement: 用于替换的字符串或字符串数组。
• $subject: 要搜索替换的目标字符串或字符串数组。
• $limit: 可选，对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1（无限制）。
• $count: 可选，为替换执行的次数。

​ 返回值：

​ 如果 subject 是一个数组， preg_replace() 返回一个数组， 其他情况下返回一个字符串。

​ 如果匹配被查找到，替换后的 subject 被返回，其他情况下返回没有改变的 subject。如果发生错误，返回 NULL。

​ 函数的几种匹配模式：

• /g 表示该表达式将用来在输入字符串中查找所有可能的匹配，返回的结果可以是多个。如果不加/g最多只会匹配一个
• /i 表示匹配的时候不区分大小写，这个跟其它语言的正则用法相同
• /m 表示多行匹配。什么是多行匹配呢？就是匹配换行符两端的潜在匹配。影响正则中的^$符号
• /s 与/m相对，单行模式匹配。
• /e 可执行模式，此为PHP专有参数，例如preg_replace函数。
• /x 忽略空白模式。

​ 关于\\1这个东西：

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中
，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始，
最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问，其中 n 为一个标识特定缓冲区的
一位或两位十进制数。

​ 这里我自己的理解是，只要一个正则表达式被一个一个括号包围，那么它就将被存放到一个临时缓冲区中，并且，如果存在多个正则表达式被括号包围，那么，就会从左到右依次存放在这个临时缓冲区中，另外，这个临时缓冲区是从1号开始的，也就是说，在正则表达式中，\1有着自己的含义，也就是访问这个缓冲区的第一个表达式，而两个\也是因为一个\要对另一个\进行转义。

​ 那么，看如下代码：

<?php
function test($str){}
echo preg_replace("/s*(.*)s*/ies", "\\1", $_GET["h"]);
show_source(__FILE__);
?> 

​ 那么，当传入的h的值为：

?h=${phpinfo()}

​ 随后，成功执行了phpinfo()函数：

​ 关于可变变量：

​ 这里就不多说了，关于这方面的内容可以去看PHP的文档：

https://www.php.net/manual/zh/language.variables.variable.php

我们输入了$$\begin{gathered} phpinfo()，那么它呢因为被括号包裹了，就会存进缓冲区，此时他是符合那个过滤函数的，所以要更替为第二个语句，而这里用到了/e，就相当于将第二个语句给执行了，就相当于eval(xx)，第二个语句也就是 \\ 1，而 \\ 1的含义是 \end{gathered}$${phpinfo()},他这个时候总的语句呢就是eval($phpinfo()),这玩意就相当于变量里面套变量，所以我们需要先执行里面的，也就是${phpinfo()}
中的 phpinfo() 会被当做变量先执行，执行后，即变成 $1(phpinfo()成功执行返回true)，此时我们呢再执行这个eval${1},这玩意能正常执行出来，由于我们没有给1赋值，他会给个警告，但是没问题，不影响我们的语句，所以这个时候我们的rce就实现了