文章总结： 记录一次通过弱口令登录后台，利用Eyoucms历史漏洞结合PHP配置绕过限制获取RCE的过程。研究PHP版本特性及FastCGI通信机制，通过sock文件与sendmail_path实现命令执行，最终提权至root。 综合评分： 90 文章分类： 渗透测试,漏洞分析,实战经验,红队,WEB安全

弱口令到Root Shell 配置正确的重要性

原创

YMsora YMsora

YMs0ra的安全漫路

2026年5月16日 18:51 浙江

在小说阅读器读本章

去阅读

记一次渗透RCE的过程 非常感谢F0r7yn渗透出的弱密码，让我登进了后台，因为是Eyoucms的模板，

并且下发的版本号是1.2.9,虽然是比较老的版本， 传统的文件上传被封死，绕过不了php，白名单过滤

发现有历史遗留问题，那就是file.php对于htm会对php代码进行渲染，

 查看disable_function以及open_basedir，

后者是tmp 前者基本所有的命令执行函数都被禁用，

想起PHP版本小于8.5，对于一个issue有些在意https://github.com/php/php-src/issues/21961

竞争绕过open_basedir，但是对于disable_function，

我尝试了自带的sqllite扩展，但是loadextension是关闭状态

以及curl的动态加载库等等，都失败了

但是这时agent注意到了FastCGI

nginx的流量是经过FastCGI给php-fpm的，它会监听一个入口

这可以是一个tcp开放端口，也可能是文件的表现形式

在tmp中查找到了sock文件，这时，我还可以执行PHP代码，这就闭环了

 我用

stream_socket_client("unix:///tmp/php-cgi-82.sock")

去连接这个sock，将open_basedir和send_mail的值

SCRIPT_FILENAME=/www/wwwroot/www.xxxx.com/public/.target.php
DOCUMENT_ROOT=/www/wwwroot/www.xxxx.com/public
PHP_VALUE=open_basedir=/
PHP_ADMIN_VALUE=sendmail_path=/www/wwwroot/www.xxxx.com/public/xxxx.sh

sendmail_path在被呼出时会默认调用指向的文件，

直接改成要执行的脚本以绕过disable_function，（其实可以直接改） 然后就拿到了基本的命令执行了，当然用户组还是www，

最后上copy-fail，拿到root，至此了结

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：YMs0ra的安全漫路 YMsora YMsora《弱口令到Root Shell 配置正确的重要性》