深入研究preg_replace \e模式下的代码执行

原创

已于 2022-04-13 16:30:08 修改 · 3.4k 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2021-08-21 01:33:55 首次发布

本文深入剖析preg_replace/e模式下代码执行问题，涉及正则表达式、漏洞触发和安全策略。通过实例讲解如何利用payload绕过PHP命名规则，执行phpinfo()和getFlag()函数，同时提醒读者preg_replace/e模式在PHP7后的风险。

深入研究preg_replace与代码执行

下面将深入研究 preg_replace /e 模式下的代码执行问题，
其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析，当中的坑非常非常多，相信看完你也能学到很多

案例分析

<?php

function complex($re, $str) {
   
   
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}

foreach($_GET as $re => $str) {
   
   
    echo complex($re, $str). "\n";
}

function getFlag()

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

paidx0

关注关注

18
点赞
踩
29

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

利用preg_replace与正则表达式实现任意代码执行

qq_68163788的博客

11-16

2106

对于任意命令执行，需要谨慎操作，因为错误的命令可能会导致系统故障或数据丢失。在执行任意命令之前，应该确保理解命令的含义和可能的影响，并且具备相应的权限。建议在执行任意命令前备份重要数据，并遵循最佳实践和安全原则。PHP 的 preg_replace 函数是用于执行正则表达式的搜索和替换。它允许您使用正则表达式来搜索字符串中的模式，并用指定的值替换它们。在使用 preg_replace 函数时，需要注意正则表达式的语法和匹配规则，以及替换值的格式。同时，要注意避免使用不安全的正则表达式，以防止可能的安全漏洞。

preg_replace漏洞e模式函数执行

qq_66013948的博客

03-09

1289

这里我自己的理解是，只要一个正则表达式被一个一个括号包围，那么它就将被存放到一个临时缓冲区中，并且，如果存在多个正则表达式被括号包围，那么，就会从左到右依次存放在这个临时缓冲区中，另外，这个临时缓冲区是从1号开始的，也就是说，在正则表达式中，\1有着自己的含义，也就是访问这个缓冲区的第一个表达式，而两个\也是因为一个\要对另一个\进行转义。{1},这玩意能正常执行出来，由于我们没有给1赋值，他会给个警告，但是没问题，不影响我们的语句，所以这个时候我们的rce就实现了。，此时我们呢再执行这个。

4 条评论您还未登录，请先登录后发表或查看评论

5 条评论

m0_72399197 2024.08.10
var_dump(preg_replace('/(.*)/ie','1','{${phpinfo()}}'));/的结果为什么会是11呢，不应该是1吗

weixin_73292835 2023.10.17
preg_replace('/(' . $pattern.')/',print_r(//1),$code)这种怎么做啊，师傅救一下

士别三日wyx 2021.08.21
你为何如此优秀

paidx0 2021.08.21
[face]emoji:022.png[/face][face]emoji:022.png[/face]

深入研究PHP中的preg_replace和代码执行

10-18

主要给大家介绍了关于PHP中preg_replace和代码执行的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

慎用preg_replace危险的/e修饰符(一句话后门常用)

10-27

要确保 replacement 构成一个合法的 PHP 代码字符串，否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误

关于preg_replace \e的代码执行

m0_64815693的博客

04-23

2053

关于preg_replace \e的代码执行

preg_replace在/e模式下的代码执行

最新发布

yxr520yj的博客

12-25

303

意为在 “this is a test” 字符串中找到 “test”，并将其替换为通过$_GET["a"]获取的。被认为是危险的，因为它允许在替换过程中执行任意的 PHP 代码，从而可能导致安全漏洞。：是一个非常关键的选项，表示 PHP 会在替换时执行替换内容中的 PHP 代码（通过。：这是要进行搜索和替换的原始字符串。在这个例子中，原始字符串是。：这是正则表达式模式，用于匹配字符串中的特定部分。：这是用来替换匹配部分的内容。将作为替换内容，并且 PHP 会执行。中的 PHP 代码。

BUUCTF：[BJDCTF2020]ZJCTF，不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞

Zero_Adam的博客

02-13

456

不足：在文件包含那里卡住了，想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么，，，等一会看看能不能用data协议来读去？？？这个可以的：index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace，+ e 修正符，想到的是RCE！？！！。知识点：/e模式的preg_repl

[BJDCTF2020]ZJCTF，不过如此(php伪协议,data伪协议,preg_replace /e漏洞)

weixin_44110537的博客

10-04

609

伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.

preg_replace \e模式下代码执行

banliyaoguai的博客

08-16

406

preg_replace 使用了 /e 模式，导致了代码可以被执行，php7.3 版本之前 preg_replace使用/E模式，都会导致代码执行，preg_replace 在匹配到正则符号后就会被替换字符串，这时上面例子中'strtolower("\\1")'代码会被执行。php中有一个可变变量的概念，在PHP中被双引号包裹的字符串可以当作变量解析，也就是进行代码执行，下面执行的函数中包含的是双引号，所以可以解析变量。'strtolower("\\1")'里面的\\1的意思就是将\1转义后的显示，

preg_replace与远程代码执行

m0_62422842的博客

04-01

4176

前言之前在攻防世界上随便做了个题，发现了这个陌生的preg_replace函数\e情况下的漏洞。像我这种对这陌生的小白来说第一次理解是比较困难的。花了两天时间看了许多师傅的文章，这才理解。为此写下这篇文章总结一下，也希望后上路的小伙伴能看了我的文章能有所收获。 preg_replace函数这个php函数是通过正则替换用的，基本形式为 mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject ) pr

代码执行-preg_replace

weixin_44110913的博客

08-31

186

one preg_replace危险的/e修饰符 preg_replace危险的/e修饰符深入研究

preg_replace在java中_深入研究PHP中的preg_replace和代码执行

weixin_35756892的博客

02-19

272

前言本文将深入研究 preg_replace /e 模式下的代码执行问题，其中包括 preg_replace 函数的执行过程分析、正则表达式分析、漏洞触发分析，当中的坑非常多，相信看完本文，你一定会有所收获。下面是七月火和 l1nk3r 的分析结果。案例下面先看一个案例，思考如何利用此处的 preg_replace /e 模式，执行代码(可以先不看下文分析，自己思考出 payload 试试)。...

深入研究preg_replace与代码执行

zhengke506868338的博客

11-28

907

本文将深入研究/e模式下的代码执行问题，其中包括函数的执行过程分析、正则表达式分析、漏洞触发分析，当中的坑非常多，相信看完本文，你一定会有所收获。下面是七月火和l1nk3r的分析结果。

php preg replace e,关于 preg_replace 危险的“/e”修饰符

weixin_33980343的博客

03-10

1528

PHP preg_replace() 正则替换，与Javascript 正则替换不同，PHP preg_replace() 默认就是替换所有符号匹配条件的元素。而函数中的 /e 这个修饰符的意思就是让正则替换之后将 replacement 参数当作 PHP 代码。该用法常在 PHP webshell 中出现。preg_replace ( mixed pattern, mixed replacem...

[BJDCTF2020]ZJCTF，不过如此—preg_replace代码执行之看了包会(代码审计5)

qq_50589021的博客

06-07

280

[BJDCTF2020]ZJCTF，不过如此题目： <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>&lt

preg_replace引发的phpmyadmin(4.3.0-4.6.2)命令执行漏洞

Jim的博客

09-06

812

漏洞利用思路：这个漏洞目前没法直接利用，因为有token限制，需要登陆抓到token，同时需要构造第三个参数保证和第一个参数匹配上，第一个参数可控，但是第三个参数是从数据库中取出的，所以只能提前插入到数据库中，然后再取出来，columnIndex是取出字段值的可控，所以第三个参数也可控了。 //$find = ’0/e’; //$fromsqldata = ’0/e’; //echo pre