记录一下一个小点
源码
<?php $MY = create_function("","die(`cat flag.php`);"); $hash = bin2hex(openssl_random_pseudo_bytes(32)); eval("function SUCTF_$hash(){" ."global \$MY;" ."\$MY();" ."}"); if(isset($_GET['func_name'])){ $_GET["func_name"](); die(); } show_source(__FILE__);
新知识:匿名函数create_function实际上有名字,命名为%00lambda_%d,这里直接从%00lambda_1开始爆破即可