WordPress简介
WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
漏洞概述
该漏洞源于程序没有正确处理静态查询。攻击者可利用该漏洞未经认证查看部分内容。
影响版本
WordPress <= 5.2.3
所需环境
phpstudy(php-7.2.10-nts Apache)
WordPress 5.2.3
环境搭建
1、将下载下来的WordPress放到phpstudy
2、浏览器访问127.0.0.1/WordPress文件名,登录后提示没有数据库
3、127.0.0.1/phpmyadmin 创建名为wordpress(为了方便)的数据库
4、继续安装WordPress
复现过程
创建几个私密文章,当然创建一个也可以
创建几个公开文章,同上
正常访问,127.0.0.1/WordPress文件名
加poc访问,127.0.0.1/WordPress文件名/?static=1&order=asc
修复方案
更新至最新版本
推荐文章++++
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论