2019年2月19日，RIPS 团队官方博客放出 WordPress5.0.0 RCE 漏洞详情，漏洞利用比较有趣，但其中多处细节部分并未放出，特别是其中利用到的 LFI 并未指明，之后网络上很多所谓的漏洞分析文章，多数对 LFI 并未分析，遂想一探究竟，并将自己的分析过程记录下来。

环境搭建

我们直接从 WordPress 官网下载 5.0 版本代码，搭建成功后先不要登录，因为从 3.7.0 版本开始， WordPress 在用户登录时，会在后台对小版本的改变进行更新，这样不利于我们分析代码。我们可以通过将 AUTOMATIC_UPDATER_DISABLED 设置成 true ，来禁止 WordPress 后台自动更新（在 wp-config.php 文件开头添加 define('AUTOMATIC_UPDATER_DISABLED', true); 即可）。