0x01 起因
事情的起因是下午遇到了 preg_replace 函数,我们都知道 preg_replace 函数可能会导致命令执行。现在我们来一些情况。
0x02 经过
踩坑1:
测试代码大概是这样的:
foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }
测试过程中发现通过浏览器的方式传入数据的时候,会将 . + 等特殊字符转换为 _ 。
这里涉及到了php的一个特性
php自身在解析请求的时候,如果参数名字中包含空格、.、[等字符,会将他们转换成_。
<"text-align: center">经过我的fuzz,结果如下图:
踩坑2:
那我们知道 preg_replace 的 /e 修正符会将 replacement 参数当作 php 代码,并且以 eval 函数的方式执行,前提是 subject 中有 pattern 的匹配。既然是这样我们看一张图。
图中实际上通过 eval 执行的是 strtolower 函数。分别实际执行的是:
strtolower("JUST TEST"); strtolower("PHPINFO()"); strtolower("{${PHPINFO()}}");第三个之所以可以执行代码,是因为我们通过复杂(花括号)语法的方式来让其代码执行。
踩坑3:
回到源代码中,我们再理解一下:
foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }这里的 replacement 是 strtolower(“\\1”) ,着重理解一下 \\1 。
每个这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n可以是0-99,\0和\$0代表完整的模式匹配文本。
假设一个正则表达式是这样的:
preg_replace('/(.*)(\"htmlcode">$1 $2 $3 $4 '/(.*)(\"color: #ff0000">0x03 解决
好了上面都已经铺垫完坑了,这里要开始解决了。
foreach ($_GET as $regex => $value) { preg_replace('/(' . $regex . ')/ei','strtolower("\\1")',$value); }我们想要让这部分代码达到代码执行的效果需要达到几个条件:
- pattern 部分的表达式需要命中 \$value 中的数据
- \1 中取出的数据复杂(花括号)语法的特征,来保证在双引号的包含下达到代码执行的效果
- 由于php的特性url会将 . 、 [ 、 + 等特殊字符转换为 _ 。
我们知道这里是通过 get 方式获取到 \$regex 和 \$value 的,要想在 replacement 部分通过 \1 截取到 pattern 正则匹配命中 \$value 中的数据,并且携带 \$ 、 { 、 ( 这里就涉及到正则表达式的使用了。
这里我选择了 \S ,也就是匹配任意的非空白字符,那么最后的payload长这样
\S*()={${phpinfo()}}0x04 后记
其实还有点小问题,我这边没有写,不过大家可以看看这个深入研究preg_replace与代码执行。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。
稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!
昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。
这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。
而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?