一次对wordpress3.2.1简单的渗透

近日闲着无聊,然后去闲逛了一下一个wordpress主题站..然后就看到一友情链接。

闲着无聊吧。。就猜测了一下后台。。好吧,默认后台wp-login.php。。

然后测试了一下,默认admin账户。猜测了几个弱口令。。没想到就进去了。。

这是第一次猜弱口令。。RP好吧。。然后就想着测试拿下webshell。。

进了后台,试用了几个方法,编辑404.php页面,上小马,没成功,访问不了。

然后尝试直接上传,被栏了。估计补丁打了。然后还想着从主题下手,可惜上传主题需要FTP帐号密码,毕竟不是大站,就不想去大动周折。

想了想,从外观模版多试一下吧,应该有收获,果不其然。

随便拿了一个single.php模版直接上大马(这个是文章模版),访问一篇文章,成功得到了webshell.虽然一些编码错乱。

看了一下:linux主机,就没继续下去了。

一些小思路,分享一下。

 

一次对wordpress3.2.1简单的渗透》有2个想法

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注