概述 OpenSNS是想天科技开发的一款综合 *** 际软件。您能够运用OpenSNS快速建立一个类似于新浪微博相同的功用强大的交际网站。您的交际网站也能够在微信中被拜访，还支撑苹果和安卓手机经过APP的方式运用。除此之外，OpenSNS还供给云商场进行功用扩展，许多的扩展让你的网站如虎添翼。官网：http://www.opensns.cn/ 相关环境 源码信息：OpenSNS开源版 缝隙类型：后台getshell 下载地址：http://www.opensns.cn/home/index/download.html 缝隙文件：./Application/Admin/Controller/ThemeController.class.php 第170行 缝隙原理 程序在上传zip文件时，主动对zip文件进行解压没有对解压出文件的内容进行过滤就直接写入硬盘。 缝隙剖析 代码中对上传文件进行了后缀名过滤，对不合法尾缀名文件进行了过滤，过两次成功后进行了解压，可是并没有对解压后的文件内容进行过滤直接写入了硬盘导致了缝隙的存在 缝隙复现 1. 翻开网站后台找到模板上传方位 2. 装备一个压缩包，压缩包里是一句话木马 3. 挑选上传 4.上传成功承认复现 5. 上菜刀连一下 解决方案 对上传模板文件进行约束或制止前台拜访该目录。 结语 许多刚刚入坑的萌新们以为代码审计好像很难，想挖到缝隙好像只要大佬们才干完成，可是其实我想说挖到归于自己的缝隙其实并不难，需求的是你能够平静下急于求成的心，耐得住缝隙发掘中的庸俗，不断去锻炼自己的毅力，增加自己的经历，信任自己，你是醉棒的，你也能够成为他人眼中的大佬！