Goby 漏洞更新 |WordPress Welcart e-Commerce 插件 content-log.php 文件 logfile 参数文件读取漏洞

最新推荐文章于 2024-03-28 23:53:45 发布
最新推荐文章于 2024-03-28 23:53:45 发布
阅读量305 收藏
点赞数
分类专栏: Goby 漏洞 红队版 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130648266
版权
Goby 同时被 3 个专栏收录
191 篇文章 31 订阅
订阅专栏
漏洞
140 篇文章 3 订阅
订阅专栏
红队版
119 篇文章 4 订阅
订阅专栏

漏洞名称:WordPress Welcart e-Commerce 插件 content-log.php 文件 logfile 参数文件读取漏洞

English Name:WordPress plugin Welcart e-Commerce content-log.php logfile File Read Vulnerability

CVSS core: 9.8

影响资产数:5453

漏洞描述:

Welcart 是一个免费的 WordPress 电子商务插件,在日本市场占有率最高。Welcart e-Commerce 2.8.5版本存在任意文件读取漏洞,攻击者利用该漏洞可获取敏感文件。

漏洞影响:

攻击者可通过该漏洞读取泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。

FOFA查询语句(点击直接查看结果):

body=“wp-content/plugins/usc-e-shop”

此漏洞已可在Goby漏扫/红队版进行扫描验证

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
专栏目录
漏洞复现】WordPress Welcart 任意文件读取漏洞(CVE-2022-4140)
qq_67810151的博客
04-10 459
Welcart存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞读取任意文件,获取服务器敏感信息。
pythonxx
FREDM1982的博客
04-20 1820
Skip to content 跳到内容 Sign up 报名 vinta vinta / awesome-python awesome-python Public 公共 A curated list of awesome Python frameworks, libraries, software and resources 一个令人敬畏的Python框架、库、软件和资源列表 awesome-python.com/ awesome-python.com/ View license 查看许可协议 124k
常用php类库、资源
weixin_43863000的博客
06-11 2774
学习资源 PHP相关的有参考价值的社区,博客,网站,文章,书籍,视频等资源 PHP网站(PHP Websites) PHP The Right Way - 一个PHP实践的快速参考指导 PHP Best Practices - 一个PHP最佳实践 Clean Code PHP - 一个PHP 编码标准 PHP Weekly News - 一个PHP 周刊 Securing PHP - 有关PHP安全相关 PHP FIG - PHP框架交互小组 PSR 中文翻译 PHP School - 一个
常用的 PHP 类库 , 资源
Climber813
04-02 5810
学习资源 原文作者:AR414 原文链接:https://learnku.com/articles/40507 许可协议链接:https://learnku.com/docs/guide/cc4.0/6589 PHP相关的有参考价值的社区,博客,网站,文章,书籍,视频等资源 PHP网站(PHP Websites) PHP The Right Way - 一个PHP实践的快速参考指导 ...
五周第二次课(1月9日) 7.6 yum更换国内源 7.7 yum下载rpm包 7.8/7.9 源码包安装
weixin_30716725的博客
01-09 401
五周第二次课(1月9日)7.6 yum更换国内源7.7 yum下载rpm包7.8/7.9 源码包安装扩展1. 配置yum源优先级 http://ask.apelearn.com/question/7168 2. 把源码包打包成rpm包 http://www.linuxidc.com/Linux/2012-09/70096.htm 命令::=======================...
如何在Ubuntu 18.04上使用查询缓存优化MySQL
08-12 237
The author selected the Apache Software Foundation to receive a donation as part of the Write for DOnations program. 作者选择了Apache软件基金会作为Write for DOnations计划的一部分来接受捐赠。 介绍 (Introduction) Query cache...
go技术文章精选(2019)
热门推荐
韩亚军的博客
01-03 11万+
gocn_news_set_2019 gocn_news_2019-12-31 Go 系列教程:https://dev.to/digitalocean/how-to-code-in-go-32p0 Go modules:最小版本选择 https://tonybai.com/2019/12/21/go-modules-minimal-version-selection/ 部署服...
细看Piwik:一种Google Analytics(分析)替代品
culi3118的博客
08-19 648
A recent SitePoint article by Jacco Blankenspoor introduced a number of alternatives to the ubiquitous Google Analytics. Among them was Piwik — a self-hosted, open-source package that Jacco described ...
october cms_October CMS静态页面入门
culh2177的博客
09-02 877
october cmsThis article was created in partnership with October CMS. Thank you for supporting the partners who make SitePoint possible. Looking to partner with SitePoint? Get more information here. 本...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 009-Web安全入门(PHP文件包含漏洞
时光隧道
03-01 6万+
PHP文件包含漏洞是指在PHP代码中存在安全漏洞,允许攻击者包含并执行恶意文件或代码。PHP文件包含漏洞通常发生在以下两种情况下:动态文件包含:当PHP代码使用动态输入来包含文件时,攻击者可能通过构造恶意输入来包含并执行任意文件。这可能会导致攻击者执行远程代码、读取服务器上的敏感文件,或者执行其他恶意操作。本地文件包含:当PHP代码使用本地文件路径来包含文件时,攻击者可能通过修改文件路径参数来包含并执行任意文件。这可能会导致攻击者读取服务器上的敏感文件,或者执行其他恶意操作。
HTTP.sys远程执行代码漏洞验证及复现——CVE-2015-1635、MS15-034
7Riven's blog
12-07 2万+
目录 漏洞概述 漏洞环境部署 漏洞验证 漏洞利用:ms15_034 漏洞防御 漏洞概述 HTTP.sys简介 HTTP.sys是Microsoft Windows处理HTTP请求的内核驱动程序,为了优化IIS服务器性能,从IIS6.0引入,IIS服务进程依赖HTTP.sys。HTTP.sys远程代码执行漏洞实质是HTTP.sys的整数溢出漏洞 漏洞成因 远程执行代码漏洞存在于 ...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 015-网络安全应急技术与实践(Web层-文件上传漏洞
时光隧道
02-11 7万+
文件上传漏洞是指网站对于用户上传文件的验证过程不严格,导致攻击者可以上传恶意文件到服务器上执行任意代码或者获取敏感信息的安全漏洞。安全问题说明1. 代码执行攻击者可以上传包含恶意代码的可执行文件,通过执行这些代码来攻击服务器,例如获取敏感信息、操控服务器等。上传的可执行文件中包含恶意代码,攻击者可以通过执行该代码来实现攻击目的。2. 文件覆盖攻击者可以通过上传同名文件覆盖服务器上的原始文件,导致原始文件的内容被篡改或者删除。
GOLand设置报错warning: go env -w GOPROXY=... does not override conflicting OS environm
Deronn的博客
09-02 3万+
一般来说国内不能直接访问golang官方包:所以需要做个代理就是设置GOPROX环境变量 设置了Go语言的环境变量: go env -w GO111MODULE=on go env -w GOPROXY=https://goproxy.cn,direct 设置完后,在GoLand控制台执行go mod download在执行下载mod报错: 报错信息是连接不上官方网址,可是我明明走了代理不访问官方网址,走https://goproxy.cn的啊。开始查找原因。 打开cmd,用go env .
还在手动收集资产?你比别人慢了一步
m0_46699477的博客
11-19 1万+
前言: 之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。 值得高兴的是,Goby 内测版发布了一个新功能,叫 ”IP 库“,可以自动化进行资产收集的各个环节,当然不仅限于上述几个方面,还包括 HTTS 证书、图标、关键字等资产收集方式,进一步详细查看官方发布的演示视频,发现其功能涵盖了目前资产收集常见的各个方面,集成了此功能后,前渗透 Web 攻击中的资产收集、指纹识别、漏洞检测、口令检测 Goby 都已涵盖,是一.
来了!Goby一年一度的红队专版正式发布!!
m0_46699477的博客
03-19 1万+
某大型活动临近,盆圈开始热闹起来,各种抢人大赛以及群集结号声!Goby今年有什么动作呢?→继续支持攻击队——红队,也称蓝军。 为何有且仅有红队专版? 如果对方是一位绝世武功高手且拥有绝世宝剑,你肯定没有信心与他一战,但如果给你配一把枪呢?哪怕是一把小米加步枪? 自Goby去年初打通渗透前中后流程并提出“实战”口号后,收到很多表哥/表姐的反馈,TOP10如下: 漏洞可以多一点吗?最好都是可以一键getshell的那种,且极少的漏报及误报 可以开放漏洞框架,让我们录漏洞吗? 新爆的漏洞可以更新快一点.
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8914
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
插件分享 | Vulfocus 快速启动靶场环境一键打靶
m0_46699477的博客
12-01 6394
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生:将 Vulfocus 通过插件的方式集成到 Goby,更方便快捷的一键启动漏洞环境一键扫描漏洞。于是现在的这款插件应运而生~
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5971
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
- myapp/ |- main.go |- util/ |- someutil.go |- db/ |- dbconn.go详细说明每行代码的意思
最新发布
10-10
- `main.go`: 这是Go程序的主要入口文件,所有运行时从命令行启动的应用都会在此处开始执行。这个文件中通常包含`main`包下的`main`函数,它是程序执行的起点。 - `util/`: 一个名为`util`的子文件夹,表示实用工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值