php preg_replace漏洞,深入研究 preg_replace /e 模式下的代码漏洞问题

最新推荐文章于 2024-01-29 18:17:44 发布
最新推荐文章于 2024-01-29 18:17:44 发布
阅读量363 收藏
点赞数
文章标签: php preg_replace漏洞

favicon.ico摘要:本文将深入研究 preg_replace e 模式下的代码执行问题,其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常多,相信看完本文,你一定会有所收获。下面是 七月火 和 l1nk3r 的分析结果。

本文将深入研究 preg_replace /e 模式下的代码执行问题,其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常多,相信看完本文,你一定会有所收获。下面是 七月火 和 l1nk3r的分析结果。

问题案例:

下面先看一个案例,思考如何利用此处的 preg_replace /e 模式,执行代码(可以先不看下文分析,自己思考出 payload 试试)。header("Content-Type: text/plain");

function complexStrtolower( $regex, $value){

return preg_replace('/('. $regex.')/ei','strtolower("\1")',$value);

}

foreach ($_GET as $regex => $value){

echo complexStrtolower($regex, $value)."n";

}

这个案例实际上很简单,就是 preg_replace 使用了 /e 模式,导致可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道, preg_replace 函数在匹配到符号正则的字符串时,会将替换字符串(也就是上面代码中 preg_replace 函数的第二个参数)当做代码来执行,然而这里的第二个参数却固定为 'strtolower("\1")' 字符串,那这样要如何执行代码呢?

案例解析1:

上面的命令执行,相当于 eval('strtolower("\1");') 结果,当中的 \1 实际上就是 1 ,而 1 在正则表达式中有自己的含义。我们来看看 W3Cschool 中对其的描述:反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 'n' 访问,其中 n 为一个标识特定缓冲区的一位或两位十进制数。

所以这里的 1 实际上指定的是第一个子匹配项,我们拿 ripstech 官方给的 payload 进行分析,方便大家理解。官方 payload 为: /?.*={${phpinfo()}} ,即 GET 方式传入的参数名为 /?.* ,值为 {${phpinfo()}} 。原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\1")', $value);

变成了语句: preg_replace('/(.*)/ei', 'strtolower("\1")', {${phpinfo()}});

案例解析2:

上面的 preg_replace 语句如果直接写在程序里面,当然可以成功执行 phpinfo() ,然而我们的 .* 是通过 GET方式传入,你会发现无法执行 phpinfo 函数,如下图:

20190306_1551855955567072.png

我们 var_dump 一下 $_GET 数组,会发现我们传上去的 .* 变成了 _* ,如下图所示:

20190306_1551856058813011.png

这是由于在PHP中,对于传入的非法的 $_GET 数组参数名,会将其转换成下划线,这就导致我们正则匹配失效。我们可以 fuzz 一下PHP会将哪些符号替换成下划线,发现有:(这是非法字符不为首字母的情况)

20190306_1551856378322065.png

当非法字符为首字母时,只有点号会被替换成下划线:

20190306_1551856487709885.png

所以我们要做的就是换一个正则表达式,让其匹配到 {${phpinfo()}} 即可执行 phpinfo 函数。这里我提供一个 payload : S*=${phpinfo()} 执行结果如下:

20190306_1551857469997200.png

案例解析3:

下面再说说我们为什么要匹配到 {${phpinfo()}} 或者 ${phpinfo()} ,才能执行 phpinfo 函数,这是一个小坑。这实际上是 PHP可变变量 的原因。在PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。 ${phpinfo()} 中的 phpinfo() 会被当做变量先执行,执行后,即变成 ${1} (phpinfo()成功执行返回true)。如果这个理解了,你就能明白下面这个问题:var_dump(phpinfo()); // 结果:布尔 true

var_dump(strtolower(phpinfo()));// 结果:字符串 '1'

var_dump(preg_replace('/(.*)/ie','1','{${phpinfo()}}'));// 结果:字符串'11'

var_dump(preg_replace('/(.*)/ie','strtolower("\1")','{${phpinfo()}}'));// 结果:空字符串''

var_dump(preg_replace('/(.*)/ie','strtolower("{${phpinfo()}}")','{${phpinfo()}}'));// 结果:空字符串''

这里的'strtolower("{${phpinfo()}}")'执行后相当于 strtolower("{${1}}") 又相当于 strtolower("{null}") 又相当于 '' 空字符串

不过从php5.50 后/e 修饰符已经被弃用了。而7.0.0 不再支持 /e修饰符。PHP 5.5.0 起, 传入 "e" 修饰符的时候,会产生一个 E_DEPRECATED 错误; PHP 7.0.0 起,会产生 E_WARNING 错误,同时 "e" 也无法起效。

php5.5以后的版本要用的话请用 preg_replace_callback() 代替。

weixin_30097621
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java在线观看(jav在线网站)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-10 7万+
java在线网站给大家展示6个java在线网站)。后面还有java在线API,各种java在线在线api地址。 java在线观看1、LintCode Java学习爱好者的福音,和LeetCode类似,也是一个刷题的OJ网站,提供闯关式的阶梯训练以及国内外知名大厂的笔试面试真题。它不仅有算法题、数据库题、Java题目可以刷,还有Java和Sql的教程的手把手教程,一遍做题一边学习加深印象,非常地贴心,不过网站内容更适合Java学习爱好者。
php preg replace e,关于 preg_replace 危险的“/e”修饰符
weixin_33980343的博客
03-10 1260
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。而函数中的 /e 这个修饰符的意思就是让 正则替换之后将 replacement 参数当作 PHP 代码。该用法常在 PHP webshell 中出现。preg_replace ( mixed pattern, mixed replacem...
preg_replace的/e修饰符妙用与慎用
senlin1202的博客
03-04 2858
preg_replace — 执行正则表达式的搜索和替换 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit ] ) 在 subject 中搜索 pattern 模式的匹配项并替换为 replacement 。如果指定了 limit ,则仅替换 limit 个匹配,如果省略
FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream 问题解决
m0_37315653的博客
09-28 4万+
配置好了 nginx.conf 和 php7.0-fpm.conf 文件,但是要访问 php 文件的时候,却不显示任何内容或者显示“File not found”,问题在于要访问的 php 文件 php7.0-fpm 没有访问权限,修改下访问权限即可。 改成如下图所示: 附 nginx.conf, fastcgi.conf 和 php7.0-fpm.conf 配置: 在 nginx....
php的header函数
weixin_43508199的博客
11-18 8264
header的作用: php中的header函数主要用于向客户端发送原始的http报头,常用的有用来通知浏览器页面不存在,延迟转向、表示内容类型、声明下载文件、对当前文档禁用缓存、显示一个需要验证的登陆对话框等等。 header函数常见的声明于设置: header('HTTP/1.1 200 OK'); // ok 正常访问 header('HTTP/1.1 404 Not Found'); //通知浏览器 页面不存在 header('HTTP/1.1 301 Moved Permanentl
FastCGI sent in stderr: “Primary script unknown“ while reading response header from upstream问题解决
zhouapples的博客
08-03 2474
[error] 1439#1439: *5 FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream...... ①php对接nginx的配置参考php官网–正常 ②本地文件夹访问权限和属主检查–正常 ③nginx服务和worker角色,地址,端口检查–正常 ④php-fpm服务,地址,端口,处理php进程角色检查–正常 确认目录下存在指定php文件仍然报此错误 后来通过关
Nginx+PHP配置错误,日志:[error] 24324#0: *31 FastCGI sent in stderr: "Primary script unknown" while reading...
weixin_30784945的博客
06-04 1134
一、问题现象 1、安装nginx、phpphp-fpm后,浏览器访问php报错,“File not found”; 二、问题排查 1、检查nginx、php-fpm服务是否正常启动,均正常启动; 2、检查服务端口号,分别是nginx:81、php:9000 3、查看nginx错误日志 /usr/local/nginx/logs/error.log t...
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
深入研究PHP中的preg_replace代码执行
10-18
主要给大家介绍了关于PHP中preg_replace代码执行的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP正则替换函数preg_replace和preg_replace_callback使用总结
10-25
主要介绍了PHP正则替换函数preg_replace和preg_replace_callback使用总结,本文是在写一个模板引擎遇到一个特殊需求时总结而来,需要的朋友可以参考下
详解PHP正则表达式替换实现(PHP preg_replacePHP preg_replace)
01-19
首先向你介绍下PHP preg_replacePHP preg_replace的使用是我们实现的方法,那么对于PHP正则表达式替换实现过程我们从实例入手。 PHP正则表达式替换的相关概念: preg_replace:执行正则表达式的搜索和替换 mixed...
"Primary script unknown" while reading response header from upstream, ……
jacklin_01的博客
05-30 3811
报错: FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream, client: 127.0.0.1, server: localhost, request: "GET /index.php HTTP/1.1", upstream: "fastcgi://127.0...
PHP】Docker+Nginx+PHP环境部署报FastCGI sent in stderr: “Primary script unknown“ while reading...错
最新发布
不纯正的逼格的专栏
01-29 567
代码】【PHP】FastCGI sent in stderr: “Primary script unknown“ while reading。
nginx中Primaryscriptunknown问题解决
weixin_44972135的博客
05-24 1万+
FastCGI sent in stderr: "Primary script unknown" while reading response header from upstream 问题解决 错误日志里报如下错误: 2019/05/1217:46:09 [error] 19747#0: *39351836FastCGI sent in stderr: "Primary script ...
入门知识(JAVA基础)
ZangLing的博客
04-12 2万+
二进制(binary),是在数学和数字电路中以2为基数的记数系统,是以2为基数代表系统的二进位制。变量本质上就是代表⼀个”可操作的存储空间”,空间位置是确定的,但是⾥⾯放置什么值不确定。变量本质上就是代表⼀个”可操作的存储空间”,空间位置是确定的,但是⾥⾯放置什么值不确定。⽐如,int a=3;——操作数是true,结果为false,操作数是false,结果为true。(1)按位与&——如果两个二进制位都是1,则结果为1,否则结果为0。(2)按位或|——如果两个二进制位都是0,则结果为0,否则结果为1。
欢迎光临 Javen-Studio 新网址:http://javenstudio.org
navychen的专栏
03-21 1万+
 欢迎光临 Javen-Studio 新网址:http://javenstudio.org 
jav基础总结
热门推荐
w1015377198的博客
11-09 4万+
总结 一:开发java程序的工具: ①记事本   ②Eclipse 二:Java 程序的控制台: ①       Scanner从控制台输入信息,从*(包括所有的库,scanner也包括在内),scanner库里面寻找。 ②       输出语句用System.out.print(print后面加上ln代表换行。 三:程序的注释 : ①       单行注释(用//) ②
Jav基础-基本知识replace、Thread
洋葱专栏-有灵魂的程序员
06-05 3万+
1、 replacereplaceAll 1)replace的参数是char和CharSequence,即可以支持字符的替换,也支持字符串的替换(CharSequence即字符串序列的意思,说白了也就是字符串); 2)replaceAll的参数是regex,即基于规则表达式的替换,比如,可以通过replaceAll("\\d", "*")把一个字符串所有的数字字符都换成星号; 相同点是都是...
JAV基础————对集合的简单理解
DDBIG的博客
08-27 1万+
Collection: 可以存储不同类型的对象,而且随着存储对象的的增加容量自动增加。 添加的都是对象,不能是基本类型。 每种集合存储数据的方式是不同的,也就是使用的数据结构是不同的。 Collection中重要的接口为:List,Set。     List: 存储的对象是有序的,可以重复的。(有序是指集合中对象的顺序和添加对象的顺序是一致的。) List: ArrayList  
PHP preg_replace
05-15
`preg_replace` 是 PHP 中一个用于正则表达式匹配和替换的函数。它的基本语法如下: ```php preg_replace($pattern, $replacement, $subject); ``` 其中,`$pattern` 表示匹配模式,可以是一个字符串或一个正则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值