墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)

1. 背景介绍

近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行

2.影响范围

Plainview Activity Monitor plugin version <= 20161228

3.访问页面

发现用户是admin

4.爆破密码

利用burp抓包,然后爆破密码

密码是:123qwe

5.远程密码执行

Activity Monitor >tools 用命令执行 输入127.0.0.1 |ls /,点击lookup

查看key.txt, 这里输入框被限制了长度,按F12,将长度15改为150

输入127.0.0.1 |cat /key.txt

相关推荐
m1cr0wave5 小时前
[CISCN 2022 初赛]online_crt
安全·web
JQLvopkk5 小时前
2024年网络安全预防
网络安全
橙 子_5 小时前
基于 Amazon Nova Sonic 和 MCP 构建语音交互 Agent
python
JQLvopkk5 小时前
2024年常见网络安全问题及预防
安全·web安全
百川5 小时前
CMS框架漏洞
网络·安全·web安全
Bruce_Liuxiaowei5 小时前
融媒体中心网络安全应急预案(通用技术框架)
网络·web安全·网络安全·媒体
渡我白衣7 小时前
Linux网络编程:基于UDP 的聊天室雏形
linux·网络·udp
宇寒风暖7 小时前
Flask 框架全面详解
笔记·后端·python·学习·flask·知识
哪 吒7 小时前
【2025C卷】华为OD机试九日集训第3期 - 按算法分类,由易到难,提升编程能力和解题技巧
python·算法·华为od·华为od机试·2025c卷
数据与人工智能律师7 小时前
智能合约漏洞导致的损失,法律责任应如何分配
大数据·网络·人工智能·算法·区块链