墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)

admin and root2023-10-12 22:25

1. 背景介绍

近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行

2.影响范围

Plainview Activity Monitor plugin version <= 20161228

3.访问页面

发现用户是admin

4.爆破密码

利用burp抓包,然后爆破密码

密码是:123qwe

5.远程密码执行

Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup

查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150

输入127.0.0.1 |cat /key.txt

相关推荐
金銀銅鐵12 小时前
[Python] 扩展欧几里得算法
python·数学·算法
Duckdblab12 小时前
DuckDB 性能调优终极指南:打造闪电般的分析体验
python
带派擂总13 小时前
Python全栈开发精华版最全合集(包含各种面试题) Day24_异常和错误
python
金銀銅鐵16 小时前
n^5 和 n 的个位数是否总相等?
python·数学
aqi0019 小时前
15天学会AI应用开发(九)利用Chroma持久化向量数据
人工智能·python·大模型·ai编程·ai应用
金銀銅鐵19 小时前
借助 Pygame 探索最大公约数的规律
python·数学·游戏
Flynt20 小时前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
带刺的坐椅20 小时前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·springboot·web·solon
ServBay2 天前
9 个 Python 第三方库推荐,不用 AI 都好像多出一个团队
后端·python
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?03飞书长连接_事件订阅(接收消息,审批任务状态变更)04Trae国际版与国内版深度测评:AI原生IDE的双生花052026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf06GitHub 镜像站点07【AI】2026 年具身智能模型和世界模型总结08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析092026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)10【AI总结】2026年6月 主流国内外大模型总结