PCRE绕过正则

最新推荐文章于 2023-09-21 23:33:02 发布
最新推荐文章于 2023-09-21 23:33:02 发布
阅读量899 收藏 1
点赞数 1
文章标签: python php web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/125361948
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

前言

提示:这里可以添加本文要记录的大概内容:

今天进行CTF刷题的时候,刷到了关于正则表达式贪婪匹配后进行回溯产生的绕过,记录一下。

提示:以下是本篇文章正文内容,下面案例可供参考

一、PCRE绕过的原理

正则表达式是一个可以被“有限状态自动机”接受的语言类。

有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。

而常见的正则引擎,又被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是:

  • DFA: 从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入
  • NFA:从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态

由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。大多数程序语言都使用了NFA作为正则引擎,其中也包括PHP使用的PCRE库。

比如说:

<?php
function pcre($data){  
    return preg_match('/<\?.*[;].*/is', $data);  
}

假如传入$data=<?phpinfo();//aiwin 函数pcre进行匹配时,由于.*进行贪婪匹配,所以会匹配掉<?phpinfo();//aiwin 整个字符串,但是此时不对,因为正则表达式显示.*后还有字符; 所以NFA会开始进行回溯,每一步回溯一个字符,即第一步先回溯n,直到回溯匹配到;  一共回溯8步。

问题在于:       PHP为了防止对正则表达式进行拒绝服务攻击,设置了pcre.backtrack_limit的配置,限制正则表达式的回溯次数:

 查看回溯次数,默认上限为100万次,当回溯次数超过100万次,就会使preg_match函数返回false,说明此次正则匹配执行失败。

防御方法:要防御正则表达式的回溯次数溢出,将preg_match的结果使用强等于===匹配即可。

二、例题

1.[NISACTF 2022]middlerce

题目源码:

        

<?php
include "check.php";
if (isset($_REQUEST['letter'])){
    $txw4ever = $_REQUEST['letter'];
    if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw4ever)){
        die("再加把油喔");
    }
    else{
        $command = json_decode($txw4ever,true)['cmd'];
        checkdata($command);
        @eval($command);
    }
}
else{
    highlight_file(__FILE__);
}
?>

1,题目从头开始进行正则表达式匹配,.*贪婪匹配后又匹配括号里的字符,最后再.*后结束

checkdata函数进行的是黑名单过滤,可以使用tail以及通配符*进行获取flag,过滤了

/\^|\||\~|assert|print|include|require|\(|echo|flag|data|php|glob|sys|phpinfo|POST|GET|REQUEST|exec|pcntl|popen|proc|socket|link|passthru|file|posix|ftp|\_|disk|tcp|cat|tac/i

2,代码虽然执行了eval函数,但是却不会将结果输出到页面,可以使用短标签代替echo的效果进行输出,<??>和<?=?>。<??>相当于对<?php>的替换。而<?=?>则是相当于<? echo>,<??>写法需要开启short_open_tag,<?=?>则是默认开启。

 

3,关键点在于使回溯次数超过100万次,返回false,利用脚本上传post数据:
 

data = '{"cmd":"?><?= `tail /f*`?>", "#":"' + "#" * 1000000 + '"}'

其中.*会匹配掉整个字符串,但是此时不正确,因为后面括号应该还有字符,会进行回溯,传入一百万个#会使回溯次数上限,返回false绕过正则匹配。
 

M03-Aiwin
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于PCRE2的正则表达式模块 支持Unicode-易语言
06-12
“基于PCRE2的完全封装+功能扩展正则表达式模块!!!” 关于PCRE2: pcre2是一个超强大的正则表达式库,它与Perl兼容,有众多的程序嵌入了它 比如 PHP、Nginx等 Unicode支持: pcre2有三个库,libpcre2-8、libpcre2-16、libpcre2-32,分别支持 1字节代码单元(UTF-8)、2字节代码单元(UTF-16)、4字节代码单元(UTF-32)。 这三个库我都已经编译并且放入压缩包,模块也实现完全封装全部支持,在普通使用中我们只需要用到 libpcre2-8这个库,如果需要Unicode支持则需要用到libpcre2-16这个库而libpcre2-32为32位代码单元支持,模块也支持,根据需求使用选择库。 模块公开的函数和类: 使用说明: P_正则全局加载链接库:加载全局链接库(载入DLL) P_正则编译表达式:编译一个表达式,如果成功返回表达式句柄 P_正则内容替换:进行匹配和替换 P_正则内容高级替换: 进行匹配和替换,不同于内容替换的是这个功能允许使用 \0 \1 \2这种类型的格式字符串传入,用以匹配 完整表达式捕获、第一个子表达式捕获、第二个子表达式捕获,同理支持最大\99 假设表达式为:(\d+)*(\d+),文本内容为:“100*200”,此处的格式为:“\1 => \2”,则最终替换返回的结果为:“100 => 200” P_正则内容匹配: 此功能用于判断某个文本是否与表达式匹配,匹配成功返回真,否则返回假 P_正则内容搜索: 此函数通过已编译的表达式进行搜索内容,如果成功将返回一个搜索结果指针,如果启用全部搜索则返回一个搜索结果数组指针,如果无匹配返回0 。。。。。不一一叙述了,模块内有注释,不懂可以加下面的群 P_正则表达式类 封装于面向过程为类 P_正则表达式_便捷 与 P_正则表达式类 相同,但更加便捷操作 所有函数名称带W的表示支持 8/16/32 位字符单元模式(使用16位模式即可支持通常的Unicode),普通模式不支持宽文本的函数有备注 关于JIT: pcre2库支持JIT编译表达式, 启用JIT编译在编译时稍微多耗费一些时间,但在匹配时速度快得多,这通常运用于单个模式进行多次匹配时需要 关于命名子表达式: 表达式允许加入‘命名标签’,使用命名标签的格式:(?(子表达式)) 例如表达式:(?( [1-9][0-9]{4,} ))匹配文本:jhbxwe8769933jdhxcn 那么将会匹配到 8769933 ,由于前面命名子表达式为name,则可以使用 P_正则取子匹配文本_从名称(搜索结果,name)来获取到 8769933
sql注入绕过正则表达式匹配和回溯机制
weixin_54246834的博客
07-23 797
有限状态自动机”,其拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。而常见的正则引擎,又被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。他们匹配输入的过程分别是DFA从起始状态开始,一个字符一个字符地读取输入串,并根据正则来一步步确定至下一个转移状态,直到匹配不上或走完整个输入NFA从起始状态开始,一个字符一个字符地读取输入串,并与正则表达式进行匹配,如果匹配不上,则进行回溯,尝试其他状态。...
PHP利用PCRE回溯次数限制绕过某些安全限制实战案例
weixin_51525416的博客
08-10 4085
PHP利用PCRE回溯次数限制绕过某些安全限制
[NISACTF 2022]middlerce
m0_70819573的博客
03-08 415
preg_match过滤了换行符和异或符号,所以考虑利用preg_match本身回身回溯超过1000000会返回false绕过。1.eval的执行逻辑和create_function或有相似之处,绕过方式几乎一样。2.很显然需要做fuzz测试。1.打开环境,审计代码。
[NISACTF 2022]middlerce-----正则匹配回溯绕过
qq_73767109的博客
06-26 646
要匹配的第一个字符与字符串中的第一个进行匹配,如果匹配成功就一直匹配下去,直至匹配不成功就到第二个要匹配的字符,如果第二个匹配的字符成功了就一直匹配下去,如果不成功就吐出原匹配好的字符串最右边的一个字符进行匹配,如果还不成功就继续吐,直至匹配成功才到下一个要匹配的字符,但是我们知道,既然前一个匹配的字符成功了就肯定不符合下一个匹配的字符。2.到a这个字符从后面往前回溯匹配,先吐出一个d但匹配不上,继续吐出一个s,sd还是与a匹配不上。这个字符表示可以匹配任意的字符,那么按上面说的匹配机制,
NSS [NISACTF 2022]middlerce
最新发布
Jay17的博客
09-21 839
NSS [NISACTF 2022]middlerce
NSSCTF web题记录
m0_64815693的博客
11-08 9066
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
[NISACTF 2022]
snowlyzz的博客
09-09 5757
NISACTF部分WP
pcre-8.45,Nginx的http模块使用pcre来解析正则表达式
12-15
PCRE(Perl Compatible Regular Expressions)库是一组函数,使用与Perl 5相同的语法和语义实现正则表达式模式匹配。除了一组POSIX兼容的包装函数外,PCRE还拥有自己的原生API。 Nginx的http模块使用pcre来解析正则...
易语言pcre正则应用模块
08-16
易语言pcre正则应用模块源码 系统结构:GetTextAddress,GetDataAddress,pcre_get_extra,pcre_set_extra,pcre_get_callout_block,pcre_set_callout_block,get_ints,set_ints,malloc,calloc,realloc,free,pcre_get_...
PHPPCRE正则解析代码详解
01-20
一、前言 前面的博客里,有对字符集的解析。...那么废话不多说,直接开始正题。 ... <?...$preg_strings = '测、试、一、下';...$preg_str = mb_split('、', $preg_strings);...以分隔符(、)的UNICODE的16进制
php pcre回溯攻击,php preg_match pcre回溯绕过
weixin_30976429的博客
03-29 315
原理需要知识:正则NFA回溯原理,phppcre.backtrack_limit设置。正则NFA回溯原理正则表达式是一个可以被"有限状态自动机"接受的语言类。"有限状态自动机",拥有有限数量的状态,每个状态可以迁移到零个或多个状态,输入字串决定执行哪个状态的迁移。常见的正则引擎被分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)他们匹配输入的过程是:DFA:从起始状态开始,一个...
正则绕过总结
qq_40327508的博客
09-28 7550
换行符绕过(%0a) <?php include("flag.php"); highlight_file(__FILE__); $c = $_GET['c']; if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag; }else{ echo "nonono"; } 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%5c绕过 <?ph.
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 490
正则表达式的学习
【红日Day6-CTF】PHP正则绕过
PZ的博客
01-12 2100
练习记录 复现代码: index.php // index.php <?php include 'flag.php'; if ("POST" == $_SERVER['REQUEST_METHOD']) { $password = $_POST['password']; if (0 >= preg_match('/^[[:graph:]]{12,}$/', $pass...
正则表达式案例分析 (一)
weixin_34318326的博客
07-11 248
前言 最近在重新学习正则表达式,把在学习过程中所遇到的案例,还有比较难理解概念用自己的理解分析并整理总结。 如有哪些地方不对,欢迎指正,谢谢!(๑•ᴗ•๑) 本系列使用的JavaScript所支持的正则表达式语法,并推荐你使用 regexr.com/ 去做相应的练习。 假定你已经熟悉元字符,方括号,修饰符,量词及RegExp对象。 如果没有,请先看一遍文档www.w3school.com.cn/j...
preg_match函数,正则匹配绕过
热门推荐
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
PHP preg_match正则表达式详解
.Net/PHP/Java程序设计
04-20 1507
PHP正则表达式规则匹配是什么呢?这就是PHP preg_match正则表达式的使用,那么对于PHP preg_match正则表达式我们需要注意什么呢?这里向你通过实例的使用向你详细介绍。   PHP preg_match正则表达式的使用:  PHP正则表达式规则匹配是什么呢?这就是PHP preg_match正则表达式的使用,那么对于PHP preg_match正则表达式我们需要注意什么呢?这里向你通过实例的使用向你详细介绍。   PHP preg_match正则表达式的使用: 
CTF web题总结--绕过正则表达式
bob的博客
08-30 1万+
绕过正则表达式
bat 正则
05-27
其中,百度的正则表达式引擎是 RE2,阿里巴巴的正则表达式引擎是 java.util.regex,腾讯的正则表达式引擎是 PCRE。 使用 RE2 正则表达式引擎的示例: ```python import re2 pattern = re2.compile(r'(\d+)-(\d+)-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值