墨者靶场 初级:WordPress 远程命令执行漏洞(CVE-2018-15877)复现
题目
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/8f75ab62175d60b69c99cbc271e50f3c.png)
背景介绍
近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。
实训目标
1、了解WordPress;
2、了解此插件漏洞形成的原因;
3、掌握此插件漏洞的利用方式;
解题方向
根据漏洞编号查找知识。
解题步骤
启动靶机,访问链接。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/36103dd6585f22110bbead901e06f416.png)
使用御剑扫后台,发现登录页面。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/77a8cae3941c3f93026ed42557ff7f40.png)
使用burp弱口令爆破,发现用户名是admin,密码是123qwe,登录进后台。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/ddd834a2e9f3592d15a842e315f28ec3.png)