先介绍一下preg_replace()函数:
摘自W3school
定义和用法:
array_walk() 函数对数组中的每个元素应用用户自定义函数。在函数中,数组的键名和键值是参数。
注释:您可以通过把用户自定义函数中的第一个参数指定为引用:&$value,来改变数组元素的值
语法
array_walk(array,myfunction,userdata...)
参数 描述
array 必需。规定数组。
myfunction 必需。用户自定义函数的名称。
userdata,... 可选。规定用户自定义函数的参数。您能够向此函数传递任意多参数。
示例:
<?php
function myfunction($value,$key,$p)
{
echo "$key $p $value<br>";
}
$a=array("a"=>"red","b"=>"green","c"=>"blue");
array_walk($a,"myfunction","has the value");
?>
运行结果:
a has the value red
b has the value green
c has the value blue
这个漏洞简单来说就是正则中/e(这里和|e效果一样) 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。
详情参考:https://www.jb51.net/article/38714.htm
所以如果我们可以执行preg_replace(’|.*|e’,$_POST[pass],’ '),这就可以执行$_POST[pass],也就相当于一句话木马的效果。可以利用该漏洞拿到shell。