1024

PHP中一个有趣的preg_replace函数详解

Jcinta ·
更新时间:2024-11-10
· 536 次阅读

0x01 起因

事情的起因是下午遇到了 preg_replace 函数,我们都知道 preg_replace 函数可能会导致命令执行。现在我们来一些情况。

0x02 经过

踩坑1:

测试代码大概是这样的:

foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }

测试过程中发现通过浏览器的方式传入数据的时候,会将 . + 等特殊字符转换为 _ 。

这里涉及到了php的一个特性

php自身在解析请求的时候,如果参数名字中包含空格、.、[等字符,会将他们转换成_。

<?php $a = $_GET; var_dump($a); ?>

经过我的fuzz,结果如下图:

踩坑2:

那我们知道 preg_replace 的 /e 修正符会将 replacement 参数当作 php 代码,并且以 eval 函数的方式执行,前提是 subject 中有 pattern 的匹配。既然是这样我们看一张图。

图中实际上通过 eval 执行的是 strtolower 函数。分别实际执行的是:

strtolower("JUST TEST"); strtolower("PHPINFO()"); strtolower("{${PHPINFO()}}");

第三个之所以可以执行代码,是因为我们通过复杂(花括号)语法的方式来让其代码执行。

踩坑3:

回到源代码中,我们再理解一下:

foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }

这里的 replacement 是 strtolower(“\\1”) ,着重理解一下 \\1 。

每个这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n可以是0-99,\0和\$0代表完整的模式匹配文本。

假设一个正则表达式是这样的:

preg_replace('/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i', '$1$2$4', $url . '&');

这里的 \$1\$2\$4 等同于上面的 \1\2\4 的作用,因此我们看一下是怎么选择匹配的。

$1 $2 $3 $4 '/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i'

0x03 解决

好了上面都已经铺垫完坑了,这里要开始解决了。

foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }

我们想要让这部分代码达到代码执行的效果需要达到几个条件:

pattern 部分的表达式需要命中 \$value 中的数据 \1 中取出的数据复杂(花括号)语法的特征,来保证在双引号的包含下达到代码执行的效果 由于php的特性url会将 . 、 [ 、 + 等特殊字符转换为 _ 。

我们知道这里是通过 get 方式获取到 \$regex 和 \$value 的,要想在 replacement 部分通过 \1 截取到 pattern 正则匹配命中 \$value 中的数据,并且携带 \$ 、 { 、 ( 这里就涉及到正则表达式的使用了。

这里我选择了 \S ,也就是匹配任意的非空白字符,那么最后的payload长这样

\S*()={${phpinfo()}}

0x04 后记

其实还有点小问题,我这边没有写,不过大家可以看看这个深入研究preg_replace与代码执行。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对软件开发网的支持。

您可能感兴趣的文章:PHP 字符串正则替换函数preg_replace使用说明PHP正则替换函数preg_replace和preg_replace_callback使用总结php正则之函数 preg_replace()参数说明PHP 正则表达式之正则处理函数小结(preg_match,preg_match_all,preg_replace,preg_split)php中preg_replace_callback函数简单用法示例php中使用preg_replace函数匹配图片并加上链接的方法php正则preg_replace_callback函数用法实例PHP正则替换函数preg_replace()报错:Notice Use of undefined constant的解决方法分析PHP5.2下preg_replace函数的问题



preg_replace replace函数 replace PHP

1024 个赞
编辑 举报
需要 登录 后方可回复, 如果你还没有账号请 注册新账号
相关文章
CSS 表单
Vesta 2020-06-09
702
Bootstrap 按钮组
Lark 2020-05-18
727
NumPy 数组属性
Gelsey 2020-11-06
987
html css 控制div或者table等固定在指定位置的实现方法
Abbie 2020-07-31
610
PHP Array 数组详细介绍
Diane 2022-11-06
775
PHP接入Apple对access_token/identityToken进行JWT验证流程详解
Nafisa 2022-11-06
239
PHP数据加密方式梳理介绍
Kohana 2022-11-06
409
php-fpm reload 会取消正在处理请求的解决方案
Jelena 2022-11-06
900
PHP实现word转pdf的两种方式(有用!)
Tina 2022-11-06
546
php如何使用3des加解密及hmacsha256加密
Tia 2022-11-06
841
PHP微信支付与退款功能实现流程详解
Iris 2022-11-06
745
PHP伪协议基本原理介绍
Tanisha 2022-11-12
1749
Vue路由跳转方式区别汇总(push,replace,go)
Pandora 2022-12-15
237
mysql中的replace函数替换字符串问题
Malinda 2022-12-21
963
实现像php一样方便的goORM数据库操作示例详解
Ula 2022-12-29
384
WAMP(win+apache+mysql+php)环境部署及优化(以win2008R2SP1为操作系统)
Danica 2022-12-29
387
nginx降权与匹配php详细讲解
Cybill 2023-01-17
7
详解PHP实现HTTP服务器过程
Laila 2023-02-16
1441
PHP使用Swagger生成好看的API文档
Rhea 2023-02-16
629
C#Replace替换的具体使用
Oria 2023-02-20
1869