wywwzjj's Blog.

PHP 写入配置文件经典问题

字数统计: 287阅读时长: 1 min
2019/07/11 Share

以下内容是对 wonderkun 师傅这篇 文章 的学习。

题目

代码如下

1
2
3
4
5
6
<?php
if(!isset($_GET['option'])) die();
$str = addslashes($_GET['option']);
$file = file_get_contents('./config.php');
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('./config.php', $file);

写入 webshell 需要构造 ' 闭合,而 ' 直接传入将会被 addslashes 转义,看似安全实则不然。

未对内容进行处理直接写入是一种极其危险的做法,通过一些小手法就可以为所欲为。

换行符

成功写到下一行,但' 还是被转义了,问题不大,再替换下就行。

preg_replace

正常转义

成功逃逸

后向引用

这思路是真的牛逼,下面的 replacement 就是说第二个参数。

replacement 中可以包含后向引用 \n$n,语法上首选后者。 每个 这样的引用将被匹配到的第 n 个捕获子组捕获到的文本替换。 n 可以是 0-99,\0$0 代表完整的模式匹配文本。 捕获子组的序号计数方式为:代表捕获子组的左括号从左到右, 从 1 开始数。

构造一个

再来一下,使用 $0 或者 \0

CATALOG
  1. 1. 题目
  2. 2. 换行符
  3. 3. preg_replace
  4. 4. 后向引用