墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)

1. 背景介绍

近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行

2.影响范围

Plainview Activity Monitor plugin version <= 20161228

3.访问页面

发现用户是admin

4.爆破密码

利用burp抓包,然后爆破密码

密码是:123qwe

5.远程密码执行

Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup

查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150

输入127.0.0.1 |cat /key.txt

相关推荐
Diamond技术流3 分钟前
从0开始学习Linux——网络配置
linux·运维·网络·学习·安全·centos
Spring_java_gg16 分钟前
如何抵御 Linux 服务器黑客威胁和攻击
linux·服务器·网络·安全·web安全
独行soc40 分钟前
#渗透测试#SRC漏洞挖掘#深入挖掘XSS漏洞02之测试流程
web安全·面试·渗透测试·xss·漏洞挖掘·1024程序员节
努力的家伙是不讨厌的1 小时前
解析json导出csv或者直接入库
开发语言·python·json
云空1 小时前
《Python 与 SQLite:强大的数据库组合》
数据库·python·sqlite
newxtc1 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
方方怪1 小时前
与IP网络规划相关的知识点
服务器·网络·tcp/ip
凤枭香2 小时前
Python OpenCV 傅里叶变换
开发语言·图像处理·python·opencv
测试杂货铺2 小时前
外包干了2年,快要废了。。
自动化测试·软件测试·python·功能测试·测试工具·面试·职场和发展
艾派森2 小时前
大数据分析案例-基于随机森林算法的智能手机价格预测模型
人工智能·python·随机森林·机器学习·数据挖掘