前言
先知论坛上今早看到这样一篇文章,Discuz!因Memcached未授权访问导致的RCE,仔细阅读了下,核心点感觉还是一个对preg_replace_callback和preg_replace的利用,之前其实学习过程中并没有注意到这么一个点,这里做一些记录,和大家共同学习
preg_replace
preg_replace函数解释
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )//搜索subject中匹配pattern的部分, 以replacement进行替换。
//参数:
pattern
要搜索的模式。可以使一个字符串或字符串数组。
可以使用一些PCRE修饰符。
replacement
用于替换的字符串或字符串数组。如果这个参数是一个字符串,并且pattern 是一个数组,那么所有的模式都使用这个字符串进行替换。如果pattern和replacement 都是数组,每个pattern使用replacement中对应的 元素进行替换。如果replacement中的元素比pattern中的少, 多出来的pattern使用空字符串进行替换。
replacement中可以包含后向引用\\n 或$n,语法上首选后者。 每个 这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n 可以是0-99,\\0和$0代表完整的模式匹配文本。 捕获子组的序号计数方式为:代表捕获子组的左括号从左到右, 从1开始数。如果要在replacement 中使用反斜线,必须使用4个("\\\\",译注:因为这首先是php的字符串,经过转义后,是两个,再经过 正则表达式引擎后才被认为是一个原文反斜线)。
当在替换模式下工作并且后向引用后面紧跟着需要是另外一个数字(比如:在一个匹配模式后紧接着增加一个原文数字), 不能使用\\1这样的语法来描述后向引用。比如, \\11将会使preg_replace() 不能理解你希望的是一个\\1后向引用紧跟一个原文1,还是 一个\\11后向引用后面不跟任何东西。 这种情况下解决方案是使用${1}1。 这创建了一个独立的$1后向引用, 一个独立的原文1。
当使用被弃用的 e 修饰符时, 这个函数会转义一些字符(即:'、"、 \ 和 NULL) 然后进行后向引用替换。当这些完成后请确保后向引用解析完后没有单引号或 双引号引起的语法错误(比如: 'strlen(\'$1\')+strlen("$2")')。确保符合PHP的 字符串语法,并且符合eval语法。因为在完成替换后, 引擎会将结果字符串作为php代码使用eval方式进行评估并将返回值作为最终参与替换的字符串。
subject
要进行搜索和替换的字符串或字符串数组。
如果subject是一个数组,搜索和替换回在subject 的每一个元素上进行, 并且返回值也会是一个数组。
limit
每个模式在每个subject上进行替换的最大次数。默认是 -1(无限)。
count
如果指定,将会被填充为完成的替换次数。
preg_replace核心/e模式
注意到,利用的核心模式,/e模式
演示(注意版本要求php<5.5,报错执行也可以说要求php<7.0即可):
<?php
header("content-type:text/html;charset=utf-8");
$subject = '系统当前时间:1499702400,一小时后:1499706000';
$str = preg_replace('/(\d+)/e', 'date("Y-m-d H:i:s", $1)', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:系统当前时间:2017-07-11 00:00:00,一小时后:2017-07-11 01:00:00
$subject = '<p>4+5=${4+5}</p>';
$str = preg_replace('/\$\{(.+)\}/e', '$1', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:<p>4+5=9</p>,因为'$1'中匹配出来的是'4+5'当做php表达式执行了。
$precision = 2;
$subject = '看完《php从入门到精通》需要33.123456小时';
$str = preg_replace('/([\d|\.]+)/e', 'round($1, '.$precision.')', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:看完《php从入门到精通》需要33.12小时。即:33.123456被替换为round(33.123456, $precision)。
//可以这么解释吧,这里有一个eval执行的点
注意两个问题
- 为什么说这个函数可以说是有eval的执行点,注意官方废弃\e模式的说明:
preg_replace() 在进行了对替换字符串的后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式),并使用执行结果作为实际参与替换的字符串。单引号、双引号、反斜线(**)和 NULL 字符在后向引用替换时会被用反斜线转义.
- 为什么说要求php<7.0,注意php官方更新公告说明:
PHP 5.5.0 起, 传入 “\e” 修饰符的时候,会产生一个 E_DEPRECATED 错误;
PHP 7.0.0 起,会产生 E_WARNING 错误,同时 “\e” 也无法起效。
注意:php7.0之前虽然有报错,但并不是不可以执行,依旧执行
reg_replace_callback
reg_replace_callback函数解释
mixed preg_replace_callback ( mixed $pattern , callable $callback , mixed $subject [, int $limit = -1 [, int &$count ]] )
//执行一个正则表达式搜索并且使用一个回调进行替换
pattern
要搜索的模式,可以使字符串或一个字符串数组。
callback
一个回调函数,在每次需要替换时调用,调用时函数得到的参数是从subject 中匹配到的结果。回调函数返回真正参与替换的字符串。这是该回调函数的签名:
string handler ( array $matches )
你可能经常会需要callback函数而 仅用于preg_replace_callback()一个地方的调用。在这种情况下,你可以 使用匿名函数来定义一个匿名函数作 为preg_replace_callback()调用时的回调。 这样做你可以保留所有 调用信息在同一个位置并且不会因为一个不在任何其他地方使用的回调函数名称而污染函数名称空间。
subject
要搜索替换的目标字符串或字符串数组。
limit
对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
count
如果指定,这个变量将被填充为替换执行的次数。
reg_replace_callback演示
将上面preg_replace核心/e模式中的三个例子进行改写
<?php
header("content-type:text/html;charset=utf-8");
$str = preg_replace_callback('/(\d+)/', function($match){
return date("Y-m-d H:i:s", $match[1]);
}, $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:系统当前时间:2017-07-11 00:00:00,一小时后:2017-07-11 01:00:00
$str = preg_replace_callback('/\$\{(.+)\}/', function($match){
eval('$a = '.$match[1].';');
return $a;
}, $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:<p>4+5=9</p>,因为'$1'中匹配出来的是'4+5'当做php表达式执行了。
$str = preg_replace_callback('/([\d|\.]+)/', function($match) use($precision){
return round($match[1], $precision);
}, $subject);
echo $str.PHP_EOL.'<br/>';
//注:这里的关键点是use,function(...) use (...){} 属于闭包语法。
//运行结果为:看完《php从入门到精通》需要33.12小时。即:33.123456被替换为round(33.123456, $precision)。
可以注意到,比如说例子2的改写中,改写为eval形式了,所以reg_replace_callback也是依旧十分值得我们注意的
这里只是做自己对这个函数的一个笔记,如果需要例子去理解的话可以前往开篇说的那篇文章进行学习~
扫一扫
419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
