preg_replace漏洞e模式函数执行

2024-03-09 16:52

本文主要是介绍preg_replace漏洞e模式函数执行,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

关于PHP函数preg_replace \e 模式函数执行漏洞

preg_replace:

​ 该函数执行一个正则表达式的搜索和替换。

语法

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

​ 搜索subject中匹配pattern的部分,以replacement进行替换。

参数说明:

  • $pattern: 要搜索的模式,可以是字符串或一个字符串数组。
  • $replacement: 用于替换的字符串或字符串数组。
  • $subject: 要搜索替换的目标字符串或字符串数组。
  • $limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
  • $count: 可选,为替换执行的次数。

返回值:

​ 如果 subject 是一个数组, preg_replace() 返回一个数组, 其他情况下返回一个字符串。

​ 如果匹配被查找到,替换后的 subject 被返回,其他情况下返回没有改变的 subject。如果发生错误,返回 NULL。

函数的几种匹配模式:

  • /g 表示该表达式将用来在输入字符串中查找所有可能的匹配,返回的结果可以是多个。如果不加/g最多只会匹配一个
  • /i 表示匹配的时候不区分大小写,这个跟其它语言的正则用法相同
  • /m 表示多行匹配。什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号
  • /s 与/m相对,单行模式匹配。
  • /e 可执行模式,此为PHP专有参数,例如preg_replace函数。
  • /x 忽略空白模式。

关于\\1这个东西:

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中
,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始,
最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问,其中 n 为一个标识特定缓冲区的
一位或两位十进制数。

​ 这里我自己的理解是,只要一个正则表达式被一个一个括号包围,那么它就将被存放到一个临时缓冲区中,并且,如果存在多个正则表达式被括号包围,那么,就会从左到右依次存放在这个临时缓冲区中,另外,这个临时缓冲区是从1号开始的,也就是说,在正则表达式中,\1有着自己的含义,也就是访问这个缓冲区的第一个表达式,而两个\也是因为一个\要对另一个\进行转义。

​ 那么,看如下代码:

<?php
function test($str){}
echo preg_replace("/s*(.*)s*/ies", "\\1", $_GET["h"]);
show_source(__FILE__);
?> 

​ 那么,当传入的h的值为:

?h=${phpinfo()}

​ 随后,成功执行了phpinfo()函数:

在这里插入图片描述

关于可变变量:

​ 这里就不多说了,关于这方面的内容可以去看PHP的文档:

https://www.php.net/manual/zh/language.variables.variable.php

我们输入了 p h p i n f o ( ) ,那么它呢因为被括号包裹了,就会存进缓冲区,此时他是符合那个过滤函数的,所以要更替为第二个语句,而这里用到了 / e ,就相当于将第二个语句给执行了,就相当于 e v a l ( x x ) ,第二个语句也就是 1 ,而 1 的含义是 {phpinfo()},那么它呢因为被括号包裹了,就会存进缓冲区,此时他是符合那个过滤函数的,所以要更替为第二个语句,而这里用到了/e,就相当于将第二个语句给执行了,就相当于eval(xx),第二个语句也就是\\\\1,而\\\\1的含义是 phpinfo(),那么它呢因为被括号包裹了,就会存进缓冲区,此时他是符合那个过滤函数的,所以要更替为第二个语句,而这里用到了/e,就相当于将第二个语句给执行了,就相当于eval(xx),第二个语句也就是1,而1的含义是{phpinfo()},他这个时候总的语句呢就是eval( p h p i n f o ( ) ) , 这玩意就相当于变量里面套变量,所以我们需要先执行里面的,也就是 {phpinfo()}),这玩意就相当于变量里面套变量,所以我们需要先执行里面的,也就是 phpinfo()),这玩意就相当于变量里面套变量,所以我们需要先执行里面的,也就是{phpinfo()}
中的 phpinfo() 会被当做变量先执行,执行后,即变成 1 ( p h p i n f o ( ) 成功执行返回 t r u e ) ,此时我们呢再执行这个 e v a l {1} (phpinfo()成功执行返回true),此时我们呢再执行这个eval 1(phpinfo()成功执行返回true),此时我们呢再执行这个eval{1},这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了

这篇关于preg_replace漏洞e模式函数执行的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/791307

相关文章

Java8需要知道的4个函数式接口简单教程

《Java8需要知道的4个函数式接口简单教程》:本文主要介绍Java8中引入的函数式接口,包括Consumer、Supplier、Predicate和Function,以及它们的用法和特点,文中... 目录什么是函数是接口?Consumer接口定义核心特点注意事项常见用法1.基本用法2.结合andThen链

MySQL 日期时间格式化函数 DATE_FORMAT() 的使用示例详解

《MySQL日期时间格式化函数DATE_FORMAT()的使用示例详解》`DATE_FORMAT()`是MySQL中用于格式化日期时间的函数,本文详细介绍了其语法、格式化字符串的含义以及常见日期... 目录一、DATE_FORMAT()语法二、格式化字符串详解三、常见日期时间格式组合四、业务场景五、总结一、

grom设置全局日志实现执行并打印sql语句

《grom设置全局日志实现执行并打印sql语句》本文主要介绍了grom设置全局日志实现执行并打印sql语句,包括设置日志级别、实现自定义Logger接口以及如何使用GORM的默认logger,通过这些... 目录gorm中的自定义日志gorm中日志的其他操作日志级别Debug自定义 Loggergorm中的

golang panic 函数用法示例详解

《golangpanic函数用法示例详解》在Go语言中,panic用于触发不可恢复的错误,终止函数执行并逐层向上触发defer,最终若未被recover捕获,程序会崩溃,recover用于在def... 目录1. panic 的作用2. 基本用法3. recover 的使用规则4. 错误处理建议5. 常见错

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程

在MySQL执行UPDATE语句时遇到的错误1175的解决方案

《在MySQL执行UPDATE语句时遇到的错误1175的解决方案》MySQL安全更新模式(SafeUpdateMode)限制了UPDATE和DELETE操作,要求使用WHERE子句时必须基于主键或索引... mysql 中遇到的 Error Code: 1175 是由于启用了 安全更新模式(Safe Upd

Python itertools中accumulate函数用法及使用运用详细讲解

《Pythonitertools中accumulate函数用法及使用运用详细讲解》:本文主要介绍Python的itertools库中的accumulate函数,该函数可以计算累积和或通过指定函数... 目录1.1前言:1.2定义:1.3衍生用法:1.3Leetcode的实际运用:总结 1.1前言:本文将详

轻松上手MYSQL之JSON函数实现高效数据查询与操作

《轻松上手MYSQL之JSON函数实现高效数据查询与操作》:本文主要介绍轻松上手MYSQL之JSON函数实现高效数据查询与操作的相关资料,MySQL提供了多个JSON函数,用于处理和查询JSON数... 目录一、jsON_EXTRACT 提取指定数据二、JSON_UNQUOTE 取消双引号三、JSON_KE

MySQL数据库函数之JSON_EXTRACT示例代码

《MySQL数据库函数之JSON_EXTRACT示例代码》:本文主要介绍MySQL数据库函数之JSON_EXTRACT的相关资料,JSON_EXTRACT()函数用于从JSON文档中提取值,支持对... 目录前言基本语法路径表达式示例示例 1: 提取简单值示例 2: 提取嵌套值示例 3: 提取数组中的值注意

Java实现状态模式的示例代码

《Java实现状态模式的示例代码》状态模式是一种行为型设计模式,允许对象根据其内部状态改变行为,本文主要介绍了Java实现状态模式的示例代码,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来... 目录一、简介1、定义2、状态模式的结构二、Java实现案例1、电灯开关状态案例2、番茄工作法状态案例