本文主要是介绍墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1. 背景介绍
近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行
2.影响范围
Plainview Activity Monitor plugin version <= 20161228
3.访问页面
发现用户是admin
4.爆破密码
利用burp抓包,然后爆破密码
密码是:123qwe
5.远程密码执行
Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup
查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150
输入127.0.0.1 |cat /key.txt
这篇关于墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
