墨者学院-WordPress 远程命令执行漏洞(CVE-2018-15877)复现

最新推荐文章于 2024-03-07 18:12:27 发布
最新推荐文章于 2024-03-07 18:12:27 发布
阅读量1.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39998158/article/details/100556674
版权

WordPress 远程命令执行漏洞(CVE-2018-15877)复现

难易程度:★★
题目类型:CMS漏洞
使用工具:FireFox浏览器、burpsuite

1.打开靶场,找到登录,点击进去。

2.尝试弱口令登录,都失败了,知道账号为admin。
没有验证码,打开burpsuite,尝试暴力破解。

3.得到密码为123qwe。
在这里插入图片描述
4.该漏洞为Activity Monitor插件远程命令执行漏洞,所以我们登录后台,找到activity monitor,选择tools,输入127.0.0.1|ls /,查看文件。
在这里插入图片描述
5.存在key.txt文件。
在这里插入图片描述
6.返回页面

最低0.47元/天 解锁文章
JimWu95
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
( CVE-2018-15877 ) WordPress 远程命令执行漏洞
weixin_45253622的博客
03-05 618
WordPress 远程命令执行漏洞(CVE-2018-15877) 靶场环境传送门 打开靶场 找到登录界面 弱口令进入发 用户名为admin,进行爆破 密码为123qwe 登录后台发漏洞为Activity Monitor插件远程命令执行漏洞,所以我们登录后台,找到activity monitor,选择tools,输入127.0.0.1|ls /,查看文件。发key.txt 返回页面,输入127.0.0.1|cat /key.txt,发长度不够,按F12修改最大长度为150。
WordPress AI Engine 插件 文件上传致RCE漏洞(CVE-2023-51409)
0xSec
04-27 414
WordPress AI Engine 插件upload接口存在文件上传漏洞,未经身份验证的攻击者可利用此漏洞上传任意后门文件,执行恶意代码,获取服务器权限。
WordPress 远程命令执行漏洞(CVE-2018-15877) -墨者学院
小白鸽
07-31 1883
01 背景介绍 近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。 远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。 02 影响范围 Plainview Activity Monitor plugin version <= 20161228 03 利用方式 默认后台 wp-login.php Activity
墨者靶场 初级:WordPress 远程命令执行漏洞CVE-2018-15877)
qq_43233085的博客
01-21 1393
墨者靶场 初级:WordPress 远程命令执行漏洞CVE-2018-15877)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 fck编辑器利用。 实训目标 1、学会利用搜索引擎寻找通用程序组件的漏洞利用方式。 2、了解一句话木马的使用。 3、了解burp的基本使用。 4、学会利用iis解析漏洞。 解题方向 根据题目提示,进行网站测试。 解题步骤 启动靶机,访问链接。 使用御剑扫...
墨者学院 WordPress 远程命令执行漏洞(CVE-2018-15877)
人若无名,便可专心练剑
10-12 364
近日,WordPress 插件Plainview Activity Monitor被曝出存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行
墨者学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)
最新发布
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(第2题)、phpMyAdmin后台文件包含分析溯源、PHP代码分析溯源(第1题)、PHP代码分析溯源(第2题)、PHP逻辑漏洞利用实战(第1题)、SQL手工注入漏洞测试(Access数据库)
APP原型实例:墨者科技-旅行小蜜APP2.0.rp
12-17
产品经理
0080 APP原型实例:墨者科技-旅行小蜜APP2.0.rp
01-06
rp原型源文件
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
11-13
墨者有巨子腹-居秦阅读答案】墨者有巨子腹.docx
墨者安全软件-免费杀毒软件
11-11
墨者安全专家是一款永久免费的免疫型安全防护软件,集墨者独创的 “革离术”、终身免费杀毒、修系统漏洞、上网痕迹清理、网络防火墙、系统实时保护、安全互助社区等强大功能于一身。特别是独创的“革离术”,利用...
wordpress数据字典
04-01
wordpress2.7 数据字典 wordpress是出名的单用户博客,然后纵多的plugins让wordpress的功能扩展起来十分方便, 今天看了下初始安装的数据库结构,却什么简单明了
wordpress 命令执行CVE-2016-10033)
YouthBelief的博客
11-04 1997
wordpress 远程命令执行CVE-2018-15877) wordpress 远程命令执行CVE-2018-15877)0x01 漏洞描述0x02 影响范围0x03 漏洞0x04 漏洞 wordpress 远程命令执行CVE-2018-15877) WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。 0x01 漏洞描述 Plainview Activity Monitor plugin是使用
WordPress BuddyPress 越权RCE漏洞CVE-2021-21389)
0xSec
01-13 1559
BuddyPress 是WordPress母公司的一个全新的开源程序,BuddyPress 从本质上说其实是 WordPress 的插件。BuddyPress 把 WordPress的关注点从博客转移到了社区。当然,用户还是能够使用WordPress的所有的博客功能,只是当用户使用 BuddyPress 时,第一要做的是创建他们个人档案,第二才是写博客。在 7.2.1 之前的 5.0.0 版本的 BuddyPress 中,非特权普通用户可以通过利用 REST API 成员端点中的问题来获得管理员权限。
墨者学院 - WordPress插件漏洞分析溯源
多崎巡礼的博客
08-30 2154
使用wpscan扫面wordpress有漏洞的插件 wpscan --url  "ip" --enumerate vp   查找插件漏洞http://www.bkjia.com/xtaq/783717.html 构造链接 http://ip/wp-content/plugins/comment-rating/ck-processkarma.php?id=1&amp;actio...
DC-6靶机CVE-2018-15877漏洞利用+nmap提权
m0_63028223的博客
11-26 844
CVE-2018-15877漏洞利用+nmap提权
DC-6(CVE-2018-15877漏洞+nmap提权)
JyajT的博客
04-23 175
常见的命令连接符有(|,&&,||这三个连接符都是Windows系统与Linux系统共有的,而&是Windows系统特有,;是Linux系统特有的)A|B:无论执行的A命令是否正确,B命令执行A&&B:只有在A命令成功执行的前提下,B命令才可以执行A||B:只有在A命令没有执行失败的前提下,B命令才可以执行A&B:不管A是否执行成功,B命令都会执行A;B:不管A是否执行成功,B命令都会执行这里用到了nmap提权关于找漏洞可以根据框架来进行搜索。
WordPress 安全漏洞
404源码社区 - Admin404
01-07 1979
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 WordPress plugin WP Upload Restriction 2.2.3及之前版本存在安全漏洞,低级身份验证的用户可以查看管理员添加的自定义扩展。
360众测靶场题库之27-WordPress 远程命令执行漏洞(CVE-2018-15877)
zjl12344的博客
03-07 615
360众测靶场题库
墨者-sql手工注入漏洞测试
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。首先,他们会对目标网站进行初步信息收集,包括了解目标网站的架构、数据库类型、应用程序等等。然后,他们会通过手工注入的方式对目标网站进行攻击,以确定是否存在注入漏洞,并尝试获取敏感信息。 在手工注入的过程中,墨者安全团队通常会使用一些工具来辅助测试,例如Burp Suite、SQLMap等。同时,他们也会根据目标网站的具体情况进行一些自定义的测试,以提高测试效果。 总的来说,墨者安全团队的手工注入漏洞测试方法比较系统和全面,可以有效地发目标网站中存在的注入漏洞,从而帮助企业提高网络安全防护水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值