Выполнение кода посредством create_function.

[Pr0xor]

http://ru.php.net/manual/en/function.create-function.php

Функция create_function, сама по себе дает возможность выполнять произвольный код на сервере
, например RCE в вордпрессе описаный здесь https://rdot.org/forum/showthread.php?t=3, основан как раз на
create_function.

По сути штатное использование create_function,

PHP код:

<?php
$code = <наш код>;
$dyn_func = create_function('', "echo $code;");
$dyn_func('');
?>

можно сравнить с такой конструкцией

PHP код:

<?php
eval("function lambda_n() { echo system('ls'); }");
lambda_n();
?>

При этом разрабы пхп дают нам еще большую свободу действий
http://bugs.php.net/bug.php?id=48231

PHP код:

<?php
$newfunc = create_function('', '};phpinfo();//');
?>

[xCedz]

"create_function\s*\(.*\)"

[profexer]

Сорри за археологию, но бага до сих (с 2008 года!) не исправлена, а налетел я на нее только сейчас =)

Проблема находится в /Zend/zend_builtin_functions.c и заключается в том, что там формируется код вида

Цитата:

function LAMBDA_TEMP_FUNCNAME (%s) {%s}

где мы можем контролировать обе переменные и они никак не проверяются, после чего этот код идет на выполнение.

А значит если второй переменной передать строку, которая закроет созданную функцию после чего пойдет наш php код, то он выполнится во время создания функции. И для этого не нужно даже лишней переменной.

Код:

<?php create_function('', '};phpinfo();{'); ?>

Я кончил, спасибо за понимание =)

[c0der]

как по мне, то отличнейшая альтернатива eval-у... profexer, благодарочка за наблюдательный баг