PHP中一个有趣的preg_replace函数详解

　　0x01 起因

　　事情的起因是下午遇到了 preg_replace 函数，我们都知道 preg_replace 函数可能会导致命令执行。现在我们来一些情况。

　　0x02 经过

　　踩坑1:

　　测试代码大概是这样的：

　　 foreach ($_GET as $regex => $value) { preg_replace(/( . $regex . )/ei,strtolower(\\1),$value); }

　　测试过程中发现通过浏览器的方式传入数据的时候，会将 . + 等特殊字符转换为 _ 。

　　这里涉及到了php的一个特性

　　php自身在解析请求的时候，如果参数名字中包含空格、.、[等字符，会将他们转换成_。

　　 <?php $a = $_GET; var_dump($a); ?>

　　经过我的fuzz，结果如下图：

　　踩坑2：

　　那我们知道 preg_replace 的 /e 修正符会将 replacement 参数当作 php 代码，并且以 eval 函数的方式执行，前提是 subject 中有 pattern 的匹配。既然是这样我们看一张图。

　　图中实际上通过 eval 执行的是 strtolower 函数。分别实际执行的是：

　　 strtolower(JUST TEST); strtolower(PHPINFO()); strtolower({${PHPINFO()}});

　　第三个之所以可以执行代码，是因为我们通过复杂（花括号）语法的方式来让其代码执行。

　　踩坑3:

　　回到源代码中，我们再理解一下：

　　 foreach ($_GET as $regex => $value) { preg_replace(/( . $regex . )/ei,strtolower(\\1),$value); }

　　这里的 replacement 是 strtolower(“\\1”) ，着重理解一下 \\1 。

　　每个这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n可以是0-99，\0和\$0代表完整的模式匹配文本。

　　假设一个正则表达式是这样的：

　　 preg_replace(/(.*)(\?&) . $key . =[^&]+?(&)(.*)/i, $1$2$4, $url . &);

　　这里的 \$1\$2\$4 等同于上面的 \1\2\4 的作用，因此我们看一下是怎么选择匹配的。

　　 $1 $2 $3 $4 /(.*)(\?&) . $key . =[^&]+?(&)(.*)/i

　　0x03 解决

　　好了上面都已经铺垫完坑了，这里要开始解决了。

　　 foreach ($_GET as $regex => $value) { preg_replace(/( . $regex . )/ei,strtolower(\\1),$value); }

　　我们想要让这部分代码达到代码执行的效果需要达到几个条件：

　　 pattern 部分的表达式需要命中 \$value 中的数据 \1 中取出的数据复杂（花括号）语法的特征，来保证在双引号的包含下达到代码执行的效果 由于php的特性url会将 . 、 [ 、 + 等特殊字符转换为 _ 。

　　我们知道这里是通过 get 方式获取到 \$regex 和 \$value 的，要想在 replacement 部分通过 \1 截取到 pattern 正则匹配命中 \$value 中的数据，并且携带 \$ 、 { 、 ( 这里就涉及到正则表达式的使用了。

　　这里我选择了 \S ，也就是匹配任意的非空白字符，那么最后的payload长这样

　　 \S*()={${phpinfo()}}

　　0x04 后记

　　其实还有点小问题，我这边没有写，不过大家可以看看这个深入研究preg_replace与代码执行。

　　总结

　　以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作具有一定的参考学习价值，如果有疑问大家可以留言交流，谢谢大家对脚本之家的支持。