OpenSNS渗透测试实战教学文档

1. 漏洞概述

OpenSNS存在多个安全漏洞，包括：

• 前台远程代码执行(RCE)
• 后台文件上传漏洞
• 后台任意文件下载
• 后台任意文件夹删除

2. 信息搜集

使用FOFA搜索引擎寻找OpenSNS站点：

fofa搜索语法：app="OpenSNS"

3. 前台RCE漏洞利用

漏洞位置

index.php文件中的weibo/share/shareBox模块

利用Payload

index.php?s=weibo/share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[method]=-%3E_validationFieldItem%26id[status]=1%26id[4]=function%26id[1]=assert%26id[args]=jiang=phpinfo()%26id[0]=jiang

漏洞分析

• 通过query参数传递恶意参数
• 利用Common/Schedule模型的runSchedule方法
• 通过数组参数注入PHP代码执行

4. 后台文件上传漏洞

利用步骤

1. 通过弱口令进入后台
2. 在模板管理中找到上传功能
3. 上传包含恶意代码的ZIP文件
4. 系统会自动解压到/Theme/目录

注意事项

• 确保ZIP文件中包含有效的PHP webshell
• 解压路径固定为/Theme/，可直接访问

5. 绕过安全限制

环境限制

• 存在disable_functions限制
• 存在open_basedir限制
• PHP5环境，缺少危险模块

绕过方法

1. 利用PHP-FPM/FastCGI绕过disable_functions
2. 发现系统使用宝塔面板
3. 查找PHP-FPM配置文件路径：server/php/php-fpm.conf
4. 确认监听地址为Unix套接字：/tmp/php-cgi-56.sock

具体实现

• 使用蚁剑连接后，修改webshell代码绕过限制
• 或者构造fsockopen函数请求Unix套接字

6. 完整利用流程

1. 通过前台RCE或弱口令进入后台
2. 上传恶意ZIP文件到模板管理
3. 获取webshell访问权限
4. 分析服务器环境配置
5. 通过PHP-FPM Unix套接字绕过限制
6. 获取完全交互式shell

7. 参考资源

• AntSword bypass_disable_functions示例
• OpenSNS相关漏洞分析文章

8. 防御建议

1. 及时更新OpenSNS到最新版本
2. 加强后台认证，避免弱口令
3. 限制文件上传类型和目录权限
4. 配置严格的disable_functions和open_basedir
5. 监控/Theme/目录的文件变更
6. 定期审计服务器配置和日志

9. 技术要点总结

• 利用链：前台RCE → 后台文件上传 → 绕过限制 → 完全控制
• 关键点：PHP-FPM Unix套接字利用
• 环境特征：宝塔面板 + PHP5.6
• 持久化方法：通过模板上传植入后门