php代码审计之代码执行函数（4）

在php里面有一些函数将输入的字符串参数当作PHP程序代码来执行
常见代码执行函数： eval 、assert 、preg_replace

eval代码执行注入

test.php如下

if(isset($_GET['rayi'])){
$rayi=$_GET['rayi'];
eval("\$rayi = $rayi;");
}
?>

assert 代码执行注入

test.php如下

if(isset($_GET['rayi'])){
$rayi=$_GET['rayi'];
assert("\$rayi = $rayi;");
}
?>

preg_replace正则代码执行注入

当 pattern 中存在/e 模式修饰符，即允许执行代码（新版的php已废除）。
比如：

preg_replace ("/(]*>)/e",
"\1.strtoupper(\2).\3",
$html_body);
?>

pattern第一个参数

echo $regexp = $_GET['reg'];
$var = 'phpinfo()';
preg_replace("/(.*?)$regexp", '\\1', $var);
?>

• .*？ 表示匹百配任意字符到下一个符合条件的字符
  例子：正则表达式a.*?xxx 可以匹配 abxxx axxxxx abbbbbxxx
  replacement 第二个参数

• preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )该函数在字符串subject中匹配表达式pattern，并将匹配项替换成字串replacement。如果有参数limit，则替换limit次。

• \\1这里是反向引用，就是依靠子表达式的记忆功能来匹配连续出现的字串或字母。表达式在匹配时，表达式引擎会将小括号 “( )” 包含的表达式所匹配到的字符串记录下来。在获取匹配结果的时候，小括号包含的表达式所匹配到的字符串可以单独获取。

• \是转义字符，\\第1个\代表转译符，\这个符号不能直接出现在表达式里，必须被\转译符后道才能变成一个普通的字符\，“\1” 引用第1对括号内匹配到的字符串，”\2” 引用第2对括号内匹配到的字符串。

• 如果一对括号内包含另一对括号，则外层的括号先排序号。换句话说，哪一对的左括号 “(“ 在前，那这一对为先。在正则(.+)\1中，\1等于(.+)中匹配到的值，也就是连续2次相同的值。

• 如匹配连续两个it，首先将单词it作为分组，然后再后面加上“\1”即可，格式为：(it)\1

replacement第二个参数

preg_replace("/x/e",$_GET['h'],"I love x");
?>

提交http://127.0.0.1/test.php?h=phpinfo()时，执行phpinfo()。

preg_replace()第三个参数

preg_replace("/\s*\[php\](.+?)\[\/php\]\s*/ies", "\\1", $_GET['xxxx']);
?>