X

慎用preg_replace的/e修饰符

最近,wooyun上面爆了一个ThinkPHP的漏洞(最新版已经修复),以前也是我用过的第一个框架,昨晚花时间重现了一下,查阅了下程序的原理,原来这东西还得慎用。主要是由mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 这个函数引起的,在官方说明中,

/e 修 正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确 保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错 误。

先看一下这个示例

preg_replace("/test/e",$_GET["h"],"jutst test");

如果我们提交?h=phpinfo(),phpinfo()将会被执行(使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行),这句话匹配到了

just test 中的test ,在进行替换的时候,将$_GET["h"]中的字符串当作了PHP代码执行。

进而,我们进入ThinkPHP的源码,下载2.1版(2.1以后已经被修复)。在/ThinikPHP/Lib/ThinkPHP/Util/Dispatcher.class.php的dispatch函数中,找到这句话:

 $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

只要是没有定义路由规则,默认情况下,这个函数都能执行。显然,这个使用了/e函数,会导致第二个参数当作函数使用。这句话的意思是

正则匹配的是 :字母开头,加上“/”分隔符,后面跟一个非"/"的元素,被替换成$var["分隔符前的字母"]=分隔符后的值;作者的本意是要将这么一对一对的

参数/值的形式的url写入到 $var[$key] = $value的数组中,第二个替换参数实际上是一个php语法,因此使用了/e参数。但是在赋值的时候,使用的是双引号。危险的地方实际上在这里,在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。可以先做如下测试:
echo "{${phpinfo()}}";   phpinfo会被成功执行了。

因此,我们将第二个变量替换成我们需要的函数,构造出来的url大致如下:

http://www.xxxx.com/index.php/Model/Action/par/${@print(THINK_VERSION)}  这个可以打印出ThinkPHP的版本,在页头的位置,我用2.1的实验了一下,成功了,这个相当于开启了一个PHP的一句话后门啊。这句话的/par/${@print(THINK_VERSION)}将匹配到正则表达式,将会执行第二个参数,具体语句是$var['par'] = "${@print(THINK_VERSION)} "; 问题出在双引号上面,这个就会执行里面的语句,自然,想干什么就干什么了!

防范的方法就是将双引号改为单引号。

'$var[\'\\1\']='\\2';'

 

然后,我在谷歌上面搜索了下,受影响的站点不少,很多站点都能直接执行phpinfo()信息,熟悉tp的,应该也能轻易拿到数据库密码。那么拿到webshell甚至系统shell也不是没有可能的!

目前受影响的网站很多很多,只要找一个下使用了TP框架的网站,就能发现。所以,使用框架有好处,也有他的坏处,那就是漏洞都是公开的。

Categories: WEB安全
龙安_任天兵: 不忘初心,方得始终!