PHP中一个有趣的preg_replace函数详解
php / 管理员 发布于 7年前 227
- pattern 部分的表达式需要命中 \$value 中的数据
- \1 中取出的数据复杂(花括号)语法的特征,来保证在双引号的包含下达到代码执行的效果
- 由于php的特性url会将 . 、 [ 、 + 等特殊字符转换为 _ 。
- PHP 字符串正则替换函数preg_replace使用说明
- PHP正则替换函数preg_replace和preg_replace_callback使用总结
- php正则之函数 preg_replace()参数说明
- PHP 正则表达式之正则处理函数小结(preg_match,preg_match_all,preg_replace,preg_split)
- php中preg_replace_callback函数简单用法示例
- php中使用preg_replace函数匹配图片并加上链接的方法
- php正则preg_replace_callback函数用法实例
- PHP正则替换函数preg_replace()报错:Notice Use of undefined constant的解决方法分析
- PHP5.2下preg_replace函数的问题
0x01 起因 事情的起因是下午遇到了 preg_replace 函数,我们都知道 preg_replace 函数可能会导致命令执行。现在我们来一些情况。 0x02 经过 踩坑1: 测试代码大概是这样的: 测试过程中发现通过浏览器的方式传入数据的时候,会将 . + 等特殊字符转换为 _ 。 这里涉及到了php的一个特性 php自身在解析请求的时候,如果参数名字中包含空格、.、[等字符,会将他们转换成_。 经过我的fuzz,结果如下图: 踩坑2: 那我们知道 preg_replace 的 /e 修正符会将 replacement 参数当作 php 代码,并且以 eval 函数的方式执行,前提是 subject 中有 pattern 的匹配。既然是这样我们看一张图。 图中实际上通过 eval 执行的是 strtolower 函数。分别实际执行的是: 第三个之所以可以执行代码,是因为我们通过复杂(花括号)语法的方式来让其代码执行。 踩坑3: 回到源代码中,我们再理解一下: 这里的 replacement 是 strtolower(“\\1”) ,着重理解一下 \\1 。 每个这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n可以是0-99,\0和\$0代表完整的模式匹配文本。 假设一个正则表达式是这样的: 这里的 \$1\$2\$4 等同于上面的 \1\2\4 的作用,因此我们看一下是怎么选择匹配的。 0x03 解决 好了上面都已经铺垫完坑了,这里要开始解决了。 我们想要让这部分代码达到代码执行的效果需要达到几个条件: 我们知道这里是通过 get 方式获取到 \$regex 和 \$value 的,要想在 replacement 部分通过 \1 截取到 pattern 正则匹配命中 \$value 中的数据,并且携带 \$ 、 { 、 ( 这里就涉及到正则表达式的使用了。 这里我选择了 \S ,也就是匹配任意的非空白字符,那么最后的payload长这样 0x04 后记 其实还有点小问题,我这边没有写,不过大家可以看看这个深入研究preg_replace与代码执行。 总结 以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对AIDI的支持。foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);}strtolower("JUST TEST");strtolower("PHPINFO()");strtolower("{${PHPINFO()}}");foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);}preg_replace('/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i', '$1$2$4', $url . '&'); $1 $2 $3 $4'/(.*)(\?|&)' . $key . '=[^&]+?(&)(.*)/i'
foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value);}\S*()={${phpinfo()}}您可能感兴趣的文章:
- 相关文章
- Laravel从Accel获得5700万美元A轮融资(0个评论)
- PHP 8.4 Alpha 1现已发布!(0个评论)
- 用Time Warden监控PHP中的代码处理时间(0个评论)
- 在PHP中使用array_pop + yield实现读取超大型目录功能示例(0个评论)
- Property Hooks RFC在PHP 8.4中越来越接近现实(0个评论)
- 近期文章
- 在windows10中升级go版本至1.24后LiteIDE的Ctrl+左击无法跳转问题解决方案(0个评论)
- 智能合约Solidity学习CryptoZombie第四课:僵尸作战系统(0个评论)
- 智能合约Solidity学习CryptoZombie第三课:组建僵尸军队(高级Solidity理论)(0个评论)
- 智能合约Solidity学习CryptoZombie第二课:让你的僵尸猎食(0个评论)
- 智能合约Solidity学习CryptoZombie第一课:生成一只你的僵尸(0个评论)
- 在go中实现一个常用的先进先出的缓存淘汰算法示例代码(0个评论)
- 在go+gin中使用"github.com/skip2/go-qrcode"实现url转二维码功能(0个评论)
- 在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
- 在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(95个评论)
- gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
- 近期评论
-
122 在
学历:一种延缓就业设计,生活需求下的权衡之选中评论 工作几年后,报名考研了,到现在还没认真学习备考,迷茫中。作为一名北漂互联网打工人.. -
123 在
Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分.. -
原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。.. -
博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章.. -
1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..
Copyright·© 2019 侯体宗版权所有·
粤ICP备20027696号
