正则回溯php 绕过,PHP利用PCRE回溯次数绕过某些安全限制 | 码农网

最新推荐文章于 2022-03-31 18:52:59 发布
最新推荐文章于 2022-03-31 18:52:59 发布
阅读量365 收藏
点赞数
文章标签: 正则回溯php 绕过

这次Code-Breaking Puzzles中我出了一道看似很简单的题目 pcrewaf ,将其代码简化如下:

function is_php($data){

return preg_match('/].*/is', $data);

}

if(!is_php($input)) {

// fwrite($f, $input); ...

}

大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。这种时候,如何绕过 is_php() 函数来写入webshell呢?

这道题看似简单,深究其原理,还是值得写一篇文章的。

0x01 正则表达式是什么

正则表达式是一个可以被“有限状态自动机”接受的语言类。

“有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。

而常见的正则引擎,又被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是:

DFA: 从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入

NFA:从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态

由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。大多数程序语言都使用了NFA作为正则引擎,其中也包括 PHP 使用的PCRE库。

0x02 回溯的过程是怎样的

所以,我们题目中的正则 ].* ,假设匹配的输入是 <?php phpinfo();//aaaaa ,实际执行流程是这样的:

5d84f835a9c427772c0fb687b1dc16b8.png

见上图,可见第4步的时候,因为第一个 .* 可以匹配任何字符,所以最终匹配到了输入串的结尾,也就是 //aaaaa 。但此时显然是不对的,因为正则显示 .* 后面还应该有一个字符 [(`;?>] 。

所以NFA就开始回溯,先吐出一个 a ,输入变成第5步显示的 //aaaa ,但仍然匹配不上正则,继续吐出 a ,变成 //aaa ,仍然匹配不上……

最终直到吐出 ; ,输入变成第12步显示的 <?php phpinfo() ,此时, .* 匹配的是 php phpinfo() ,而后面的 ; 则匹配上 [(`;?>] ,这个结果满足正则表达式的要求,于是不再回溯。13步开始向后匹配 ; ,14步匹配 .* ,第二个 .* 匹配到了字符串末尾,最后结束匹配。

在调试正则表达式的时候,我们可以查看当前回溯的次数:

1140a2a3527b96966cdeb2684f8d23e2.png

这里回溯了8次。

0x03 PHP的 pcre.backtrack_limit 限制利用

PHP为了防止正则表达式的拒绝服务攻击(reDOS),给pcre设定了一个回溯次数上限 pcre.backtrack_limit 。我们可以通过 var_dump(ini_get('pcre.backtrack_limit')); 的方式查看当前环境下的上限:

e193cbd98c2ba072e0798325a3215952.png

这里有个有趣的事情,就是PHP文档中,中英文版本的数值是不一样的:

a986cd7bf89ffdc879f2fdc38cf71c96.png

我们应该以英文版为参考。

可见,回溯次数上限默认是100万。那么,假设我们的回溯次数超过了100万,会出现什么现象呢?比如:

b8b9779dbbddd9a1dc1f0aaf3fb5804c.png

可见, preg_match 返回的非1和0,而是false。

preg_match 函数返回false表示此次执行失败了,我们可以调用 var_dump(preg_last_error() === PREG_BACKTRACK_LIMIT_ERROR); ,发现失败的原因的确是回溯次数超出了限制:

0051f393c5c20747a9c97ccd62a0a1ee.png

所以,这道题的答案就呼之欲出了。我们通过发送超长字符串的方式,使正则执行失败,最后绕过目标对PHP语言的限制。

对应的POC如下:

import requests

from io import BytesIO

files = {

'file': BytesIO(b'aaa<?php eval($_POST[txt]);//' + b'a' * 1000000)

}

res = requests.post('http://51.158.75.42:8088/index.php', files=files, allow_redirects=False)

print(res.headers)

0x04 PCRE另一种错误的用法

延伸一下,很多基于PHP的WAF,如:

if(preg_match('/SELECT.+FROM.+/is', $input)) {

die('SQL Injection');

}

均存在上述问题,通过大量回溯可以进行绕过。

另外,我遇到更常见的一种WAF是:

if(preg_match('/UNION.+?SELECT/is', $input)) {

die('SQL Injection');

}

这里涉及到了正则表达式的“非贪婪模式”。在NFA中,如果我输入 UNION/*aaaaa*/SELECT ,这个正则表达式执行流程如下:

.+? 匹配到 /

因为非贪婪模式,所以 .+? 停止匹配,而由 F 匹配 *

F 匹配 * 失败,回溯,再由 .+? 匹配 *

因为非贪婪模式,所以 .+? 停止匹配,而由 F 匹配 a

F 匹配 a 失败,回溯,再由 .+? 匹配 a

...

回溯次数随着a的数量增加而增加。所以,我们仍然可以通过发送大量a,来使回溯次数超出 pcre.backtrack_limit 限制,进而绕过WAF:

9e8a6b14246fc92ab59e536eb39bc466.png

那么,如何修复这个问题呢?

其实如果我们仔细观察PHP文档,是可以看到 preg_match 函数下面的警告的:

13d6595d5ba3d2478cb36cdfb9dff45a.png

如果用 preg_match 对字符串进行匹配,一定要使用 === 全等号来判断返回值,如:

function is_php($data){

return preg_match('/].*/is', $data);

}

if(is_php($input) === 0) {

// fwrite($f, $input); ...

}

这样,即使正则执行失败返回false,也不会进入if语句。

xbd小靴子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
正则绕过总结
qq_40327508的博客
09-28 7702
换行符绕过(%0a) <?php include("flag.php"); highlight_file(__FILE__); $c = $_GET['c']; if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag; }else{ echo "nonono"; } 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%5c绕过 <?ph.
php正则绕过
Hammers_12的博客
09-07 1463
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP中,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
命令执行中关于PHP正则表达式的一些绕过方法
qq_45521281的博客
04-21 7093
最近做了buuctf上的[极客大挑战 2019]RCE ME,PHP正则的一些绕过方法也终于要用上了,原文地址:https://blog.csdn.net/mochu7777777/article/details/104631142 参考: https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html https://w...
【Flag】-PHP-正则绕过
soldi_er的博客
09-02 1590
文章目录【RCTF2020】calc通用字符集合正则字符替换[a-z]落脚函数参考 最近RCTF分站赛要开始了,梳理一些知识。 【RCTF2020】calc 主要check源码如下 $str = $_GET['num']; $blacklist = ['[a-z]', '[\x7f-\xff]', '\s',"'", '"', "`", '\[', "\]","\$", '_', "\\\\",'\^', ","]; foreach ($blacklist as $blackitem) {
php中一些不包含数字和字母的正则绕过
qq_53460654的博客
06-03 1371
php中一些不包含数字和字母的webshell eg: <?php if(preg_match("/[A-Za-z0-9]+/",$code)){ die("NO."); } @eval($code); } 思路: 将我们需要的payload用非字母和数字的字符经过变换得到,然后知道能p
深度分析正则(pcre)最大回溯/递归限制
10-28
深度分析正则(pcre)最大回溯/递归限制,需要的朋友可以参考下。
PHP正则表达式处理函数(PCRE 函数)实例小结
10-17
主要介绍了PHP正则表达式处理函数(PCRE 函数),结合实例形式总结分析了php正则表达式preg_replace、preg_match、preg_match_all、preg_split及preg_quote等函数相关使用技巧,需要的朋友可以参考下
PHPPCRE正则解析代码详解
01-20
这里就不是字符集的事儿了,在PHP中很多函数的处理默认是unicode中的UTF-8编码格式。那么废话不多说,直接开始正题。 二、PHP函数mb_split解析 <?php $preg_strings = '测、试、一、下'; $preg_str = mb_split('...
php 绕过 正则,Bugku | 数字验证正则绕过
weixin_28949937的博客
03-23 319
语法:int preg_match_all (字符串$ pattern ,字符串$ subject [,数组和$ matches [,整数$ flags = PREG_PATTERN_ORDER [,整数$ offset = 0 ]]] )搜索主题中所有匹配模式给定正则表达式的匹配结果并将它们以标志指定顺序输出到匹配中。在第一个匹配找到后,子序列继续从最后一次匹配位置搜索。参数说明:$ patte...
php 绕过 正则,数字验证正则绕过
weixin_36372094的博客
03-23 984
Bugkuctf题库中的一道代码审计题,通过利用各种正则匹配函数特性最终得到flag源代码如下:12345678910111213141516171819202122232425262728293031
常见php函数绕过
huangyongkang666的博客
03-31 4123
PHP常见函数介绍 1. is_numeric() 函数 作用:检测变量是否为数字或数字字符串。 PHP 版本要求:PHP 4, PHP 5, PHP 7 is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后 绕过: ?what=1' ?what=1, ?what=1%00 2.isset函数 **作用:**检测变量是否设置 格式:bool isset ( mixed var [, mixed var [, …]] ) 返回值: 若变量不存在则返
php绕过正则表达式,关于php:通过跳过锚标记来检查正则表达式
weixin_42151305的博客
03-27 265
我已经写了一个用于搜索特定关键字的正则表达式,并用特定的URL替换了该关键字。我当前的正则表达式为:\b$keyword\b其中的一个问题是,如果我的数据包含锚标记,而该标记包含此关键字,则此正则表达式也会替换锚标记中的该关键字。我想搜索给定的数据,但锚标记除外。 请帮帮我。 感谢您的帮助。例如。 关键字:迪士尼I / P:This is Disney The disney should be...
php pcre回溯攻击,PHP利用PCRE回溯次数限制绕过某些安全限制
weixin_32236881的博客
03-29 258
这次 Code-Breaking Puzzles 中我出了一道看似很简单的题目pcrewaf,将其代码简化如下:].*/is',$data);}if(!is_php($input)){//fwrite($f,$input);...}大意是判断一下用户输入的内容有没有 PHP 代码,如果没有,则写入文件。这种时候,如何绕过 is_php() 函数来写入 webshel...
php常用绕正则姿势
zhwho的博客
07-14 893
异或绕过 接上篇正则表达式,如果出现这样的正则: if (!preg_match('/[a-z 0-9]/is',$_GET['a'])) { eval($_GET['a']); } else{ echo "hacker"; } 即get传参的a变量中不能有数字和字母,但如果想拿到shell就要传入类似eval($_POST[‘shell’])的语句,但这时字母被禁,只能通过其他方式来构造类似的语句,这里就可以用异或规则来绕过。 先介绍下什么是异或,举个例子: 字符:? ASCII码
正则回溯php 绕过,php正则失效-最大回溯(pcre.backtrack_limit)/递归限制
weixin_29628611的博客
03-25 425
有时候,我们觉得,没有什么可以让我们快乐,我们甚至忘记了如何微笑。但是,当我们被一群乐观、欢乐的人包围的时候,他们从内心深处散发出来的欢迎一定会感染你。这组照片中,你会看到真正的幸福和快乐的面孔,我希望你能有同样的感觉。有一件事是肯定的,那就是世界上最幸福的人是孩子。即使他们没有现代化的玩具,或访问现代高科技,他们知道怎么玩,怎么笑,微笑始终有一个良好的精神状态。我建议你​​,如果你心情烦躁的时候...
PHP - 函数绕过 - preg_match()
3569
11-29 1万+
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/   待绕过目标如下 &lt;?php echo preg_match('/&lt;\?.*[(`;?&gt;].*/is', $_GET['a']); 最常见的绕过 数组 http://localhost/?a...
preg_match函数,正则匹配绕过
热门推荐
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
CTF web题总结--绕过正则表达式
bob的博客
08-30 1万+
绕过正则表达式
php pcre回溯攻击,php preg_match pcre回溯绕过
weixin_33100285的博客
03-29 140
原理需要知识:正则NFA回溯原理,phppcre.backtrack_limit设置。正则NFA回溯原理正则表达式是一个可以被"有限状态自动机"接受的语言类。"有限状态自动机",拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。常见的正则引擎被分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)他们匹配输入的过程是:DFA:从起始状态开始,一个...
PHP正则表达式的几则使用技巧
04-06
有关正则表达式的一些用法技巧,希望有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值