create_function()漏洞利用

原创

于 2025-04-23 20:32:51 发布 · 845 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全 #RCE #网络安全 #php

什么是 `create_function()`

create_function() 是 PHP 早期提供的一个用来创建匿名函数的函数：

$func = create_function('$a,$b', 'return $a + $b;');
echo $func(1, 2); // 输出 3

第一个参数是函数的参数列表（字符串形式），第二个参数是函数体（也是字符串）。
也就是说：它会把字符串当作代码执行！

从 PHP 7.2 开始，这个函数已经被废弃，因为太容易被滥用了

举个危险的例子

$input = $_GET['code'];
$func = create_function('$x', "return $input;");
echo $func(0);

如果用户访问：

example.php?code=phpinfo()

代码就会变成：

$func = create_function('$x', "return phpinfo();");

然后服务器就会执行 phpinfo()造成信息泄露

注入

<?php
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

-ALe-

关注关注

7
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PHP代码函数的执行漏洞

知足且坚定，温柔且上进

04-07

2078

eval函数 eval()函数可以将参数中的变量值执行，通常处于处理模板和动态加载PHP代码，但也常常被攻击者利用，比如一句话后门程序： <?php eval($_GET[cmd])?> assert()函数 assert()函数在PHP中用来判断一个表达式是否成立，返回真或假。如果直接将PHP代码传入也会被执行。 <?php assert($_GET["cmd"]);?&g...

代码执行漏洞详解

m0_55854679的博客

03-13

5101

参与评论您还未登录，请先登录后发表或查看评论

create_function()函数利用

weixin_61785633的博客

06-11

1753

最近做题发现有利用到这个函数，所以就找了这篇学习了一下，并做个笔记适用范围： php < 7.2 7.2也有不过会有报错。

命令执行漏洞php函数,PHP create_function注入命令执行漏洞

weixin_35755562的博客

03-16

582

在PHP中使用create_function()创建匿名函数，如果没有严格对参数传递进行过滤，攻击者可以构造特殊字符串传递给create_function()执行任意命令。以如下代码为例：//how to exp this code$sort_by=$_GET['sort_by'];$sorter='strnatcasecmp';$databases=array('test','test');$s...

PHP代码之create_function()函数

snowlyzz的博客

10-05

5373

create_function 详解

Web 应用渗透测试 01 - 命令注入（Code Injection）之 create_function

0pr

02-04

1597

这篇文章将讨论 PHP Web 应用中 **create_function** 的命令注入。命令注入，究其根源，都是未对用户提供的输入做合理过滤造成的。当然，编程语言本身内置的危险方法的使用，是命令注入频发的另一原因。

ctf+create_function()+scandir()学习

weixin_44255856的博客

04-10

1427

php官方手册中发现create_function函数，就等同于function函数的作用； create_function函数 <?php $newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);'); echo "New anonymous function: $newfunc\n";...

绕过disable_function总结

unexpectedthing的博客

03-27

5150

前言有些时候，phpinfo()有disable_functions 蚁剑终端命令不起作用，就可能是df的问题黑名单绕过就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($

php create_function()产生的漏洞

yy2013

11-03

3138

create_function(‘参数’,’函数体’):官方example：<?php $newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);'); echo "New anonymous function: $newfunc\n"; echo $newfunc(2, M_E) . "\n";

php 命名空间 create_function,PHP create_function()注入命令执行漏洞

weixin_39716044的博客

03-21

517

0x00 create_function()介绍create_function()创建匿名函数string create_function ( string $args , string $code )stringcode 方法代码部分举例：create_function('$name','echo $name."A"')类似于：function name($name) {echo ...

[php代码审计]之create_function()函数

o3Ev的博客

04-14

2134

[php代码审计]之create_function 这篇文章结合了许多师傅的博客，再加上了一点我自己的心得文章目录creat_function()介绍使用官方手册使用实际例子0x010x02代码分析参考博客 creat_function()介绍适用范围：php4>=4.0.1，php5，php7 功能：根据传递的参数创建匿名函数，并为其返回唯一名称语法： creat_function(string $agrs,string $code) //string $agrs 声明的函数变量部分 //s

iwebsec靶场之代码执行关卡-05 create_function函数

最新发布

mooyuan的网络安全博客

04-20

1123

该函数的问题在于，若传入的 $args 或者 $function_body_code参数来源于用户输入且未经过严格过滤，攻击者就能够通过构造恶意输入来执行任意 PHP 代码。举例，当代码如下时，加入参数为2和3，那么输出为5。string create_function（string $args，string $function_body_code）根据传递的参数创建匿名函数，并为其返回唯一名称。通过查看源码，分析可知调用了关键代码create_function，具体如下所示。将代码整理后，代码如下。

代码执行漏洞-无字母数字RCE-create_function()

qq_51550750的博客

02-14

1323

代码执行漏洞 eval()函数 <?php eval($_POST[0]);?> eval会把接收到的字符串当作PHP代码来执行（一句话木马）利用这个可以连接蚁剑，而连接密码就是中括号中的值–$_POST[0]中就是这个‘0’作为连接密码无字母数字RCE 苛刻条件的 RCE 取反、异或的绕过方法比如下面的例子：异或的方法： XOR.php 执行就是终端 php XOR.php 利用PHP7的特性—动态函数执行调用：如果是system(ls)—一次是system

[代码审计]PHP代码审计之create_function()函数

Y4tacker的博客

08-02

8173

前言：引用了各路大佬参考资料，整合成自己能够看懂并接受的笔记，欢迎指正学习一点小知识： // 这是 PHP 单行注释 /*这是 PHP 多行注释*/ /*直接注释掉后面所有代码` 文章目录create_function()简介基本使用代码片段运行截图分析代码注入案例案例一案例二参考资料--欢迎考证 create_function()简介适用范围：PHP 4> = 4.0.1，PHP 5，PHP 7 功能：根据传递的参数创建匿名函数，并为其返回唯一名称。语法： create_function(st

一道有意思的代码审计（create_function）

Panacea

04-27

710

<?php show_source(__FILE__); $key = "bad"; extract($_POST); if($key === 'bad'){ die('badbad!!!'); } $act = @$_GET['act']; $arg = @$_GET['arg']; if(preg_match('/^[a-z0-9_]*$/isD',$act)) { ec...

PHP - 代码执行 - create_function()

3569

11-29

1884

https://paper.seebug.org/94/ create_function() 大致流程如下 1. 获取参数, 函数体; 2. 拼凑一个”function __lambda_func (参数) { 函数体;} “的字符串; 3. eval; 4. 通过__lambda_func在函数表中找到eval后得到的函数体, 找不到就出错; 5. 定义一个函数名:”\000_la...

PHP中create_function的用法总结

azzfanke的专栏

12-22

7929

在php中，函数create_function主要用来创建匿名函数，有时候匿名函数可以发挥它的作用。 1.测试一测试一主要用来循环替换数组中多个值的，我们用array_map加上create_function解决这个问题。 ############################################### function filterChars($a) {

PHP-create_function

疯狂小伟哥的博客

02-24

486

分析代码逻辑，思路还算是比较清晰，正则很明显，就是要想办法在函数名的头或者尾找一个字符，不影响函数调用。docker-compose.yml文件或者docker tar原始文件。紧接着就到了如何只控制第二个参数来执行命令的问题了，后来找到可以用。然后执行，如果我们想要执行任意代码，就首先需要跳出这个函数定义。的第一个参数是参数，第二个参数是内容。这样一来，我们想要执行的代码就会执行。蚁剑连接获取flag。

create_function()漏洞利用

什么是 create_function()

注入

什么是 `create_function()`