Cmadhushanka/wordpress-rce-vapt-cve-2020-25213

# WordPress RCE 漏洞利用与防御 (CVE-2020-25213) ## 📌 项目概述 本项目是作为 **IE4012 – 攻击性黑客战术与策略** 模块的一部分而开发的。 它在受控的实验室环境中演示了完整的网络安全攻击生命周期，包括： * 社会工程学攻击 * 恶意软件模拟 * 漏洞利用 * VAPT 分析 * 安全补丁实施 ## 🎯 目标漏洞 * **CVE ID:** CVE-2020-25213 * **漏洞：** WordPress File Manager 插件远程代码执行 * **严重性：** 严重 (CVSS 9.8) * **类型：** 未经身份验证的文件上传 → RCE ## 🧪 实验环境 | 角色 | 操作系统 | IP | | -------- | ------------------ | ----------- | | 攻击者 | Kali Linux | x.x.x.x | | 受害者 | Ubuntu + WordPress | y.y.y.y | ## ⚔️ 攻击链 1. 钓鱼邮件 (伪造的 WordPress 更新) 2. 恶意软件执行 (植入木马的安装程序) 3. 条件触发 (网络检测) 4. 利用 CVE-2020-25213 5. 上传 Web Shell 6. 远程代码执行 ## 🛠 使用的工具 * Nmap * WPScan * Burp Suite * Netcat * Metasploit * Gobuster ## 🔍 主要特性 * 基于社会工程学的感染 * 自动化漏洞利用 * 恶意软件行为模拟 * 后渗透访问 * 完整的 VAPT 方法论 * 补丁开发与测试 ## 🛡️ 防御与补丁 * 更新插件 (v6.9+) * 增加身份验证检查 * 阻止 PHP 文件上传 * 实施 WAF 规则 * 确保文件处理安全 ## 📊 影响 * 机密性：高 * 完整性：高 * 可用性：高 ## 📁 项目结构 ``` /report /malware /exploit /patch /screenshots ``` ## 👨‍💻 作者 * 姓名：Jayarathna K.P.G.C.M ## 📎 参考文献 * CVE-2020-25213 文档 * WordPress 安全公告

标签：Burp Suite, CISA项目, CTI, CVE-2020-25213, ESC8, Go语言工具, Nmap, Offensive Hacking, OPA, PHP文件上传漏洞, RCE, TGT, VAPT, WAF, Webshell, Web安全, WordPress, WPScan, 威胁模拟, 安全实验, 安全补丁, 恶意软件模拟, 攻击链分析, 攻防演练, 数据展示, 文件完整性监控, 文件管理器插件, 漏洞分析, 漏洞利用与缓解, 漏洞复现, 社会工程学, 红队, 编程工具, 网络安全, 蓝队分析, 虚拟驱动器, 路径探测, 远程代码执行, 隐私保护, 靶场