注意到函数preg_replace_callback和preg_replace
前言
先知论坛上今早看到这样一篇文章,Discuz!因Memcached未授权访问导致的RCE,仔细阅读了下,核心点感觉还是一个对preg_replace_callback和preg_replace的利用,之前其实学习过程中并没有注意到这么一个点,这里做一些记录,和大家共同学习
preg_replace
preg_replace函数解释
mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )//搜索subject中匹配pattern的部分, 以replacement进行替换。 //参数:
pattern要搜索的模式。可以使一个字符串或字符串数组。可以使用一些PCRE修饰符。replacement用于替换的字符串或字符串数组。如果这个参数是一个字符串,并且pattern 是一个数组,那么所有的模式都使用这个字符串进行替换。如果pattern和replacement 都是数组,每个pattern使用replacement中对应的 元素进行替换。如果replacement中的元素比pattern中的少, 多出来的pattern使用空字符串进行替换。replacement中可以包含后向引用\\n 或$n,语法上首选后者。 每个 这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n 可以是0-99,\\0和$0代表完整的模式匹配文本。 捕获子组的序号计数方式为:代表捕获子组的左括号从左到右, 从1开始数。如果要在replacement 中使用反斜线,必须使用4个("\\\\",译注:因为这首先是php的字符串,经过转义后,是两个,再经过 正则表达式引擎后才被认为是一个原文反斜线)。当在替换模式下工作并且后向引用后面紧跟着需要是另外一个数字(比如:在一个匹配模式后紧接着增加一个原文数字), 不能使用\\1这样的语法来描述后向引用。比如, \\11将会使preg_replace() 不能理解你希望的是一个\\1后向引用紧跟一个原文1,还是 一个\\11后向引用后面不跟任何东西。 这种情况下解决方案是使用${1}1。 这创建了一个独立的$1后向引用, 一个独立的原文1。当使用被弃用的 e 修饰符时, 这个函数会转义一些字符(即:'、"、 \ 和 NULL) 然后进行后向引用替换。当这些完成后请确保后向引用解析完后没有单引号或 双引号引起的语法错误(比如: 'strlen(\'$1\')+strlen("$2")')。确保符合PHP的 字符串语法,并且符合eval语法。因为在完成替换后, 引擎会将结果字符串作为php代码使用eval方式进行评估并将返回值作为最终参与替换的字符串。subject要进行搜索和替换的字符串或字符串数组。如果subject是一个数组,搜索和替换回在subject 的每一个元素上进行, 并且返回值也会是一个数组。limit每个模式在每个subject上进行替换的最大次数。默认是 -1(无限)。count如果指定,将会被填充为完成的替换次数。preg_replace核心/e模式
注意到,利用的核心模式,/e模式
演示(注意版本要求php<5.5,报错执行也可以说要求php<7.0即可):
<?php
header("content-type:text/html;charset=utf-8");
$subject = '系统当前时间:1499702400,一小时后:1499706000';
$str = preg_replace('/(\d+)/e', 'date("Y-m-d H:i:s", $1)', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:系统当前时间:2017-07-11 00:00:00,一小时后:2017-07-11 01:00:00 $subject = '<p>4+5=${4+5}</p>';
$str = preg_replace('/\$\{(.+)\}/e', '$1', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:<p>4+5=9</p>,因为'$1'中匹配出来的是'4+5'当做php表达式执行了。$precision = 2;
$subject = '看完《php从入门到精通》需要33.123456小时';
$str = preg_replace('/([\d|\.]+)/e', 'round($1, '.$precision.')', $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:看完《php从入门到精通》需要33.12小时。即:33.123456被替换为round(33.123456, $precision)。//可以这么解释吧,这里有一个eval执行的点
注意两个问题
- 为什么说这个函数可以说是有eval的执行点,注意官方废弃\e模式的说明:
preg_replace() 在进行了对替换字符串的后向引用替换之后, 将替换后的字符串作为php 代码评估执行(eval 函数方式),并使用执行结果作为实际参与替换的字符串。单引号、双引号、反斜线(**)和 NULL 字符在后向引用替换时会被用反斜线转义.
- 为什么说要求php<7.0,注意php官方更新公告说明:
PHP 5.5.0 起, 传入 “\e” 修饰符的时候,会产生一个 E_DEPRECATED 错误;
PHP 7.0.0 起,会产生 E_WARNING 错误,同时 “\e” 也无法起效。
注意:php7.0之前虽然有报错,但并不是不可以执行,依旧执行
reg_replace_callback
reg_replace_callback函数解释
mixed preg_replace_callback ( mixed $pattern , callable $callback , mixed $subject [, int $limit = -1 [, int &$count ]] )
//执行一个正则表达式搜索并且使用一个回调进行替换pattern要搜索的模式,可以使字符串或一个字符串数组。callback一个回调函数,在每次需要替换时调用,调用时函数得到的参数是从subject 中匹配到的结果。回调函数返回真正参与替换的字符串。这是该回调函数的签名:string handler ( array $matches )你可能经常会需要callback函数而 仅用于preg_replace_callback()一个地方的调用。在这种情况下,你可以 使用匿名函数来定义一个匿名函数作 为preg_replace_callback()调用时的回调。 这样做你可以保留所有 调用信息在同一个位置并且不会因为一个不在任何其他地方使用的回调函数名称而污染函数名称空间。subject要搜索替换的目标字符串或字符串数组。limit对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。count如果指定,这个变量将被填充为替换执行的次数。reg_replace_callback演示
将上面preg_replace核心/e模式中的三个例子进行改写
<?php
header("content-type:text/html;charset=utf-8");
$str = preg_replace_callback('/(\d+)/', function($match){return date("Y-m-d H:i:s", $match[1]);
}, $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:系统当前时间:2017-07-11 00:00:00,一小时后:2017-07-11 01:00:00 $str = preg_replace_callback('/\$\{(.+)\}/', function($match){eval('$a = '.$match[1].';');return $a;
}, $subject);
echo $str.PHP_EOL.'<br/>';
//运行结果为:<p>4+5=9</p>,因为'$1'中匹配出来的是'4+5'当做php表达式执行了。$str = preg_replace_callback('/([\d|\.]+)/', function($match) use($precision){return round($match[1], $precision);
}, $subject);
echo $str.PHP_EOL.'<br/>';
//注:这里的关键点是use,function(...) use (...){} 属于闭包语法。
//运行结果为:看完《php从入门到精通》需要33.12小时。即:33.123456被替换为round(33.123456, $precision)。
可以注意到,比如说例子2的改写中,改写为eval形式了,所以reg_replace_callback也是依旧十分值得我们注意的
这里只是做自己对这个函数的一个笔记,如果需要例子去理解的话可以前往开篇说的那篇文章进行学习~
注意到函数preg_replace_callback和preg_replace相关推荐
- 【PHP注入01】PHP语言常见可注入函数(eval、assert、preg_replace、call_user_func、$a($b)等)
目录 1 PHP注入概述 2 相关函数与语言结构 2.1 eval()函数 2.2 assert()函数 2.3 preg_replace()函数 2.4 call_user_func()函数 2.5 ...
- php 字符串替换函数,php字符串替换函数str-replace速度比preg-replace快
php字符串替换函数str-replace速度比preg-replace快 在选择函数的时候,我们都会优先选择执行速度快的函数,下面是小编整理的php字符串替换函数str_replace与preg_r ...
- php的正则表达式函数,php中常用的正则表达式函数
php中常用的正则表达式函数 * preg_match() * preg_match_all() * preg_replace() * preg_filter() * preg_grep() * pr ...
- php替换指定函数,PHP替换指定字符函数str_replace()的用法
str_replace()的用法 str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写). 语法 str_replace(find,replace,string,count) ...
- 常见危险函数及特殊函数(一)
一.PHP代码执行函数 1.PHP代码执行函数-eval & assert & preg_replace 函数 eval() 语言结构是 非常危险的, 因为它允许执行任意 PHP 代码 ...
- php限制文字数量的函数,自动截取ZBLOG PHP摘要字符数量内容的函数
无论我们是在使用WordPress,还是ZBLOG PHP程序的时候,大部分默认的主题如果没有特殊的处理,我们首页或者栏目文章列表的摘要文字部分都是需要我们在后台编辑文章的时候用MORE分割线进行分割 ...
- PHP5.6.6上运行 ecshop 2.7.3常见问题处理
ecshop在在PHP5.6.6版本以后,有了很多细微的变化.而ECSHOP官方更新又太慢,发现这些问题后也不及时升级,导致用户安装使用过程中错误百出. 整理一下我遇到的问题希望对你们能有些帮组也为了 ...
- discuz的php7版本
php7的安装 wget http://am1.php.net/get/php-7.0.4.tar.gz/from/this/mirror tar zvxf php-7.0.4.tar.gz cd p ...
- thinkphp3.1迁移php7,ThinkPHP3.1迁移到PHP7
一.在PHP7中,preg_replace不能用/e修饰符,所以用preg_replace_callback代替preg_replace, 需要修改的文件包括 ThinkPHP\Lib\Templat ...
最新文章
- linux下防火墙iptables原理及使用
- nurbs非均匀有理B样条实现船体重建
- .NET Core 出得云端入得本地,微软让跨平台应用勇敢表达
- RTMP协议学习笔记
- WHY数学表达式的3D可视化
- PDF文档如何转高清图片?
- tkmybatis VS mybatisplus
- Petalinux移除module或app的方法
- HTML header 标签的用法
- 手机b站封面提取网站_手机b站封面自定义图片大全及获取bilibili视频封面提取网站网址...
- 网易云热评 《十年》
- 零基础入门语音识别-食物声音识别
- 天正对应cad版本_天正建筑t20适用哪个版本cad
- CTF中字符长度限制下的命令执行 rce(7字符5字符4字符)汇总
- GPU服务器使用教程
- 京东2016春招(实习)笔试+编程题
- pip更换源,换成国内镜像
- fluent bit 安装及配置
- 语义分割网络系列1——FCN
- react-native : 开发工具转帖记录