preg_replace /e模式 执行漏洞

这是preg_replace的函数：mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

搜索 subject 中匹配 pattern 的部分， 如果匹配成功以 replacement 进行替换

• $pattern 存在 /e 模式修正符，允许代码执行
• /e 模式修正符，是 preg_replace() 将 $replacement 当做php代码来执行

 

上面的命令执行，相当于 eval('strtolower("\\1");') 结果，当中的 \\1 实际上就是 \1 ，而 \1 在正则表达式中有自己的含义。

反向引用

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中，所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始，最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 '\n' 访问，其中 n 为一个标识特定缓冲区的一位或两位十进制数。

所以这里的 \1 实际上指定的是第一个子匹配项

 

固定解题格式： \S*=${}