小密圈专题(1)-配置文件写入问题

p师傅的小密圈的一个问题

<?php
$str = addslashes($_GET['option']);
$file = file_get_contents('xxxxx/option.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('xxxxx/option.php', $file);

这个场景十分经典,常用在修改配置文件写入,但是又需要做一定的防御。

法一(利用正则的.*、单引号):

http://love.lemon:82/test/test.php?option=aaa';%0aphpinfo();//
http://love.lemon:82/test/test.php?option=a

这个其实是利用了正则的匹配问题,因为仔细研究一下,可以看到正则匹配的是

$option='任意内容';

如果输入aaaaa';xxxxx经过addslashes的单引号处理,成为\'

最后也就是$option='aaaaa\';xxxxx';

正则匹配的会是啥?=。=,其实最后还是能全部匹配到的,也就是aaaaa\';xxxxx';
当然最后通过注入了换行符突破,当然还需要再访问一次

http://love.lemon:82/test/test.php?option=a

通过正则将\替换掉

法二(利用preg_replace的转义):

http://love.lemon:82/test/test.php?option=aaa\';phpinfo();//

其中红色的框框中是经过preg_replace替换后的$file

可以看到与一开始经过addslashes函数处理后的aa\\\'三个\变成了两个\
猜测应该是preg_replace还是做了转义的处理,导致如此的一个变化,所以最后写入文件的也就是$option='aaa\\';phpinfo()//';

posted @ 2017-02-24 22:11 l3m0n 阅读(...) 评论(...)  编辑 收藏