[SUCTF2018]anonymous
SUCTF的老题,考的一个匿名函数
源码
<?php
$MY = create_function("","die(`dir`);");
$hash = bin2hex(openssl_random_pseudo_bytes(32));
eval("function SUCTF_$hash(){"
."global \$MY;"
."\$MY();"
."}");
if(isset($_GET['func_name'])){
$_GET["func_name"]();
die();
}
创建一个匿名函数,然后使用eval再创建一个名字为随机字符串的函数调用我们的匿名函数
允许提交一个func_name去动态调用一个没参数的函数。
先看了眼phpinfo,一无所有,不过只能调用一个无参数函数肯定也没别的攻击方法了,要么预测hash值,要么想办法获取匿名函数值
查了一下这个openssl_random_pseudo_bytes,是一个安全的随机数算法,也没法预测什么的,32位硬爆破去碰也不太可能,那就只能先想办法看看这个匿名函数是不是有名字
本地var_dump了一下$GLOBALS,拿到了一些有趣的东西,hash值是一个很长的随机字符串,但是我们的这个变量$MY,拥有一个名字\000lambda_1
,再用这个名字动态调用一下,的确能行
url编码一下变成%00lambda_1
,打过去500了,没法执行, 本地试了好几次都没成功
最后又去搜wp怎么回事
匿名函数均有名字,名为\000lambda_%d
,%d为该匿名函数是进程中第几个匿名函数,本地环境代码很正常匿名函数就这一个,线上可能是Apache起了很多个线程,导致有多个匿名函数吧?
解决方案也很简单,发包到burp的intruder模块里面跑一遍就可以了,最后在\000lambda_6
处获得flag
还有一种做法是疯狂访问,让Apache启动新的进程,新的进程刚创建出来的话匿名函数的序号就是1了,不过对于稍微扫一扫就会429的buu平台恐怕行不通?