墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)

admin and root2023-10-12 22:25

1. 背景介绍

近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行

2.影响范围

Plainview Activity Monitor plugin version <= 20161228

3.访问页面

发现用户是admin

4.爆破密码

利用burp抓包,然后爆破密码

密码是:123qwe

5.远程密码执行

Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup

查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150

输入127.0.0.1 |cat /key.txt

相关推荐
傻啦嘿哟1 小时前
代理IP在后端开发中的应用与后端工程师的角色
网络·网络协议·tcp/ip
湫ccc1 小时前
《Python基础》之字符串格式化输出
开发语言·python
Red Red1 小时前
网安基础知识|IDS入侵检测系统|IPS入侵防御系统|堡垒机|VPN|EDR|CC防御|云安全-VDC/VPC|安全服务
网络·笔记·学习·安全·web安全
mqiqe1 小时前
Python MySQL通过Binlog 获取变更记录 恢复数据
开发语言·python·mysql
AttackingLin1 小时前
2024强网杯--babyheap house of apple2解法
linux·开发语言·python
2401_857610032 小时前
SpringBoot社团管理:安全与维护
spring boot·后端·安全
哭泣的眼泪4082 小时前
解析粗糙度仪在工业制造及材料科学和建筑工程领域的重要性
python·算法·django·virtualenv·pygame
湫ccc2 小时前
《Python基础》之基本数据类型
开发语言·python
亚远景aspice3 小时前
ISO 21434标准:汽车网络安全管理的利与弊
网络·web安全·汽车
热门推荐
01ICLR24大模型提示(1/11) | BadChain:大型语言模型的后门思维链提示02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04【音视频 | opus】opus编解码库(opus-1.4)详细介绍以及使用——附带解码示例代码05Coze扣子平台完整体验和实践(附国内和国际版对比)06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07IT专业入门,高考假期预习指南08玄机平台应急响应—webshell查杀09Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO10〔AI 绘画〕Stable Diffusion 之 解决绘制多人或面部很小的人物时面部崩坏问题 篇