墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)

admin and root2023-10-12 22:25

1. 背景介绍

近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行

2.影响范围

Plainview Activity Monitor plugin version <= 20161228

3.访问页面

发现用户是admin

4.爆破密码

利用burp抓包,然后爆破密码

密码是:123qwe

5.远程密码执行

Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup

查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150

输入127.0.0.1 |cat /key.txt

相关推荐
花酒锄作田6 小时前
企业微信机器人与 DeepAgents 集成实践
python·mcp·deepagents
dldw7777 小时前
IE无法正常登录windows2000server的FTP服务器
运维·服务器·网络
likerhood8 小时前
java中`==`和`.equals()`区别
java·开发语言·python
运维有小邓@8 小时前
什么是重放攻击?如何避免成为受害者?
运维·网络·安全
光路科技8 小时前
工业数字化三大核心概念拆解:IIoT、工业互联网与工业4.0
网络
qq_283720058 小时前
Python Celery + FastAPI + Vue 全栈异步任务实战
vue.js·python·fastapi
2401_885885048 小时前
营销推广短信接口集成:结合营销策略实现的API接口动态变量填充方案
前端·python
汤愈韬9 小时前
下一代防火墙通用原理
运维·服务器·网络·security
夜珀9 小时前
AtomGit组织、权限与安全完全指南
安全
telllong9 小时前
Python异步编程从入门到不懵:asyncio实战踩坑7连发
开发语言·python
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05GPT-6核心能力解析及与现有主流大模型对比06零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)07免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09从限购到畅通:GLM-5.1 Coding Plan接入攻略10LLM Wiki:让大模型替你打理知识库的完整指南