前言
文章同步于我的个人博客https://quan9i.top,欢迎大家访问
在做一道可以进行rce的相关题时,发现很多之前不知道的知识,并且感到这个漏洞很有意思,进行了简单分析,总结如下,希望能对师傅们有帮助
案例
0X01
首先我们来看这代码进行分析
<?php
function test($str){}
echo preg_replace("/s*(.*)s*/ies", "\\1", $_GET["h"]);
show_source(__FILE__);
?>
想读懂这段代码,首先你需要了解一下preg_replace
函数
preg_replace — 执行一个正则表达式的搜索和替换
mixed preg_replace( mixed $pattern, mixed $replacement, mixed $subject)
搜索subject中匹配pattern的部分,以replacement进行替换。
以及一部分修正符的含义
1、/g 表示该表达式将用来在输入字符串中查找所有可能的匹配,返回的结果可以是多个。如果不加/g最多只会匹配一个
2、/i 表示匹配的时候不区分大小写,这个跟其它语言的正则用法相同
3、/m 表示多行匹配。什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号
4、/s 与/m相对,单行模式匹配。
5、/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
6、/x 忽略空白模式。
还有\\1
这个东西
反向引用
对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中
,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,
最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问,其中 n 为一个标识特定缓冲区的
一位或两位十进制数。
那么我们可以看出其大致含义就是匹配出的任意内容,都用()包含起来,作为子字符串,存在缓冲区,\1是访问括号内的内容,此时我们上面那个代码,我们就可以构造如下payload进行rce
?h=${phpinfo()}
对于payload中${}
的解释,它这里其实是一个可变变量
https://www.php.net/manual/zh/language.variables.variable.php
我们输入了${phpinfo()}
,那么它呢因为被括号包裹了,就会存进缓冲区,此时他是符合那个过滤函数的,所以要更替为第二个语句,而这里用到了/e
,就相当于将第二个语句给执行了,就相当于eval(xx),第二个语句
也就是//1
,而//1
的含义是${phpinfo()}
,他这个时候总的语句呢就是eval(${phpinfo()})
,这玩意就相当于变量里面套变量,所以我们需要先执行里面的,也就是${phpinfo()
} 中的 phpinfo()
会被当做变量先执行,执行后,即变成 ${1}
(phpinfo()成功执行返回true),此时我们呢再执行这个eval${1}
,这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了
对于上述过程,你可以直接用如下代码测试
<?php
eval(${phpinfo()});
?>
执行结果
0X02
代码如下
<?php
$data=$_GET['data'];
preg_replace('/<data>(.*)<\/data>/e','$ret="\\1";',$data);
show_source(__FILE__);
?>
再看这个,这个的话,我们先按之前那样,输入payload为如下
?data=<data>${phpinfo()}</data>
执行结果为
分析原因,此时括号内的内容是${phpinfo()}
,传到了缓冲区,执行后面语句时会调用,那么后面语句此时就相当于$ret=${phpinfo()}
,肯定会先执行phpinfo()
,然后呢返回了1,此时语句是$ret=1
,加上我们的/e是执行语句的,所以这里执行的就等同于eval($ret=1)
;我们本地测试一下输出结果
所以,这就是执行报错的原因所在,有没有解决办法呢,当然有,再加个{}
,此时执行结果如下
这是为啥呢,我们不妨再来分析一下,此时存入缓冲区的是{${phpinfo()}}
,此时由于\\1
是反向引用,再加上/e,实际的执行语句就是eval($ret={${phpinfo()}})
执行过里面之后,得到的就是eval($ret={1})
,而里面会当做变量来执行,也就是eval($ret=${1})
,此时就执行出来了。
0X03
<?
<?
function test($str){
}
preg_replace("/s*(.*)s*/ies", "test(\\1)", $_GET["h"]);
show_source(__FILE__);
/**
*eval("\${phpinfo()}");
*eval("test(\"{\${phpinfo()}}\");");
*${phpinfo()}
*/
?>
这个的话payload如下
?h=${phpinfo()}
此时执行的就是eval(test(${phpinfo()})
,,而后为eval(test(1))
,里面那个是空的,所以执行结果为空,没有错误,可以正常执行
总结
这个漏洞可被利用性很大,但是在php5.5版本上/e
就被弃用,因此这里只当学习一下思路和知识即可,本人只是小白,分析过程极有可能出现错误,还请各位师傅多多指正。
参考文章
https://xz.aliyun.com/t/2557#toc-4
https://www.cnblogs.com/sipc-love/p/14289984.html