Problème avec pregmatch

Version imprimable

Salut,
je veut extraire deux champs qui se trouvent dans les règles de Snort.

Code:

$var = mysql_escape_string($Ligne);

Voici le contenu de $var, c'est une règle dans un fichier .rules de Snort:

Code:

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:\"NETBIOS nimda RICHED20.DLL\"; content:\"R|00|I|00|C|00|H|00|E|00|D|00|2|00|0\"; flow:to_server,established; classtype:bad-unknown; reference:url,www.f-secure.com/v-descs/nimda.shtml; sid:1295; rev:7;)

J'ai essayer de trouver la solution avec la fonction pregmatch:
Code:

1 2 3 4 5 6 7 8 preg_match('`msg:\"([a-z0-9]+)\";`isU',$var, $matches); $msg = $matches[0]; print_r("Content: ".$msg." "); preg_match('`content:\"([a-z0-9]+)\";`isU',$var, $matches); $content = $matches[0]; print_r("content: ".$content." ");
J'ai essayer de stocker ce qui est en rouge dans la variable $msg et ce qui est en bleu dans la variable $content.
Lors de l'exécution du script, les variables $msg et $content sont vides !:(

Pouvez vous m'aider à résoudre ce problème ?:mrgreen:

Salut,

Donc dans un premier temps tu n'utilise pas la bonne fonction pour faire ce que tu veux faire. "preg_match" donne en retour le nombre de fois que ton masque a été trouvé et non pas le masque lui-même.

Dans ta variable, tu peux remarquer que les éléments qui t'intéresse sont entourés par des doubles quotes. Pour répondre a ton probleme je me suis donc servi de ces quotes pour spliter ta chaine:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 <?php $var = "alert tcp \$EXTERNAL_NET any -> \$HOME_NET 139 (msg:\"NETBIOS nimda RICHED20.DLL\";content:\"R|00|I|00|C|00|H|00|E|00|D|00|2|00|0\";flow:to_server,established; classtype:bad-unknown; reference:url,www.f-secure.com/v-descs/nimda.shtml; sid:1295; rev:7;)"; $tab = preg_split("/\"/", $var); echo $tab[0]." "; echo $tab[1]." "; echo $tab[2]." "; echo $tab[3]." "; ... ?>
Résultat:

alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:
NETBIOS nimda RICHED20.DLL
; content:
R|00|I|00|C|00|H|00|E|00|D|00|2|00|0

Problème avec pregmatch

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
<?php
 
$fichier=$_POST['path'];
 
if (!$fp = fopen($fichier,"r")) {
 
echo "Echec de l'ouverture du fichier";
 
exit;
 
}
 
else {
 
	while(!feof($fp)) {
 
		$Ligne = fgets($fp,500);
 
		$var = mysql_escape_string($Ligne);
 
		print("<small>".$var."</small><br/><br/>");		
		preg_match('`msg:"(.+)"; content:"(.+)";`isU', $var, $matches);
		print("<b>msg:</b> ".$matches[1]."<br /><b>content:</b> ".$matches[2]);
 
	}
 
	fclose($fp);
 
}
 
?>

J'ai essayer de passer chaque ligne à un pregmatch.
Vous pouvez tester le code avec ce fichier .rules !
fichier.rules