PHP 写配置文件经典问题

题目

代码如下

<?php
if(!isset($_GET['option'])) die();
$str = addslashes($_GET['option']);
$file = file_get_contents('./config.php'); 
$file = preg_replace('|\$option=\'.*\';|', "\$option='$str';", $file);
file_put_contents('./config.php', $file);

写入 webshell 需要构造 ' 闭合，而 ' 直接传入将会被 addslashes 转义，看似安全实则不然。

未对内容进行处理直接写入是一种极其危险的做法，通过一些小手法就可以为所欲为。

换行符

成功写到下一行，但' 还是被转义了，问题不大，再替换下就行。

preg_replace

正常转义

成功逃逸

后向引用

这思路是真的牛逼，下面的 replacement 就是说第二个参数。

replacement 中可以包含后向引用 \n 或 n，语法上首选后者。 每个 这样的引用将被匹配到的第 n 个捕获子组捕获到的文本替换。 n 可以是 0-99，\0 和 0 代表完整的模式匹配文本。 捕获子组的序号计数方式为：代表捕获子组的左括号从左到右， 从 1 开始数。

构造一个

再来一下，使用 $0 或者 \0。

参考

https://blog.wonderkun.cc/2017/02/28/php%E5%86%99%E5%85%A5%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E7%9A%84%E7%BB%8F%E5%85%B8%E6%BC%8F%E6%B4%9E/

https://www.leavesongs.com/PENETRATION/thinking-about-config-file-arbitrary-write.html