简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

发布于 作者:

原文链接: https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247531563&idx=1&sn=fd2abea0bc22c02f009f198104bb3b39

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

Ots安全 2025-07-02 07:43

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

CVE-2025-47812-poC

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell。仅供学习使用。

漏洞详情

该安全漏洞已由 RCESecurity 公开披露并详细说明(https://www.rcesecurity.com/2025/06/what-the-null-wing-ftp-server-rce-cve-2025-47812/)。

该漏洞是我出于教育和测试目的开发的。我并非该漏洞的最初发现者。

Wing FTP 服务器远程代码执行漏洞 (CVE-2025-47812)

该漏洞是由于 Wing FTP Server 7.4.3 及更早版本在登录过程中对用户名参数中的 NULL 字节处理不当造成的。这会导致未经身份验证的攻击者将 Lua 代码注入会话文件,从而以提升的权限远程执行代码。

此 PoC 漏洞允许:

在存在漏洞的服务器上执行任意命令。打开反向 shell 连接以进行交互式访问。

使用方法和 PoC 视频:

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell
– 运行命令:它允许您直接在目标服务器上运行命令。输入目标 URL 和用户名,然后提供要执行的命令并接收其输出。

  • 获取反向 Shell:它允许您在服务器上获取反向 Shell。指定 LHOST 和 LPORT 值以建立反向 Shell 连接。

受影响的版本
– Wing FTP Server 7.4.3 及更早版本存在此漏洞。

  • 7.4.4 及更高版本已修复此问题。

https://github.com/0xcan1337/CVE-2025-47812-poC

为了您的真实系统环境安全,请在虚拟环境上测试

感谢您抽出

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

.

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

.

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

来阅读本文

简单利用 Wing FTP 服务器 RCE (CVE-2025-47812) 漏洞,运行命令并获取反向 shell

点它,分享点赞在看都在这里