前几天在p神的文章经典写配置漏洞与几种变形中看到了一个preg_replace的trick

看了下这个解法的提出者l3m0n师傅也没有给出具体的原理,只是猜测preg_replace做了转义的处理

但是preg_replace为什么要转义呢?翻看preg_replace的文档可以看到preg_replace的第二个参数replacement有两个特性:

replacement中可以包含后向引用\\n$n,语法上首选后者。 每个 这样的引用将被匹配到的第n个捕获子组捕获到的文本替换。 n 可以是0-99,\\0$0代表完整的模式匹配文本。 捕获子组的序号计数方式为:代表捕获子组的左括号从左到右, 从1开始数

如果要在replacement 中使用反斜线,必须使用4个(“\\\\“,译注:因为这首先是php的字符串,经过转义后,是两个,再经过 正则表达式引擎后才被认为是一个原文反斜线)

猜测这个trick与preg_replace的这两个特性有关,具体的原因还需要看看源码

环境搭建

windows下调试php需要用到php-sdk-binary-tools,具体操作可以参见官方文档

编译的时候需要将文档中的configure --disable-all --enable-cli --enable-$remains换为configure --enable-debug --enable-phpdbg

使用vscode调试编译好的php可以参见PHP源码调试分析

另外一开始使用vs2017编译时会报错,换成vs2019就行了…

测试的php代码

1
2
3
4
5
6
<?php
$replacement = <<<EOT
\'
EOT;
$replacement = addslashes($replacement);
echo preg_replace('/aaa/',$replacement,"bbbaaab"); //bbb\\'b

preg_replace实现

preg_replace代码位于ext/pcre/php_pcre.c中的php_pcre_replace_impl

先不贴代码,说下preg_replace的工作流程:

  • bbbaaab拆成bbbaaab
  • bbbaaa变成bbb\\'(我们关心的部分)
  • bbb\\'后面加上b

第二部分分为两步,主要是两个及其相似的while循环

  • 计算替换后原有字符串的长度,比如这里bbbaaa变成bbb\\'new_len就会是6
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    while (walk < replace_end)
    {
        if ('\\' == *walk || '$' == *walk)
        {
            simple_string = 0;
            if (walk_last == '\\')
            {
                walk++;
                walk_last = 0;
                continue;
            }
            if (preg_get_backref(&walk, &backref))
            {
                if (backref < count)
                    new_len += offsets[(backref << 1) + 1] - offsets[backref << 1];
                continue;
            }
        }
        new_len++;
        walk++;
        walk_last = walk[-1];
    }
  • 真正的替换
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    while (walk < replace_end)
    {
        if ('\\' == *walk || '$' == *walk)
        {
            if (walk_last == '\\')
            {
                *(walkbuf - 1) = *walk++;
                walk_last = 0;
                continue;
            }
            if (preg_get_backref(&walk, &backref))
            {
                if (backref < count)
                {
                    match_len = offsets[(backref << 1) + 1] - offsets[backref << 1];
                    memcpy(walkbuf, subject + offsets[backref << 1], match_len);
                    walkbuf += match_len;
                }
                continue;
            }
        }
        *walkbuf++ = *walk++;
        walk_last = walk[-1];
    }
    *walkbuf = '\0';
    /* increment the result length by how much we've added to the string */
    result_len += (walkbuf - (ZSTR_VAL(result) + result_len));
    }

答案也很明显了,以第二个while循环为例:

  • walk用于遍历replacement
  • walk_last记录当前字符的上一个字符
  • walk'\\''$'时会触发反向引用
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    //反向引用
    if (preg_get_backref(&walk, &backref))
    {
        if (backref < count)
        {
            match_len = offsets[(backref << 1) + 1] - offsets[backref << 1];
            memcpy(walkbuf, subject + offsets[backref << 1], match_len);
            walkbuf += match_len;
        }
        continue;
    }
  • 连续两个\\就会吞掉一个\\,并且把walk_last置为'\0'
    1
    2
    3
    4
    5
    6
    7
    8
    if ('\\' == *walk || '$' == *walk)
    {
        if (walk_last == '\\')
        {
            *(walkbuf - 1) = *walk++;
            walk_last = 0;
            continue;
        }
    测试代码中的$replacement经过addslashes后用c字符串表示是"\\\\\\'",第二个\\会被continue掉,因为这时walk_last变为了'\0'所以第三个\\就被保留了下来。直接输出或者写入到配置文件中就变成了\\',逃逸出了一个单引号

之所以有这样的特性就是为了区分反斜线和反向引用,也可以算是一种转义,所以l3m0n师傅的猜测可以说是正确的