具体方法,将下面的代码添加到您的配置文件 wp-config.php中: define( 'DISALLOW_FILE_EDIT', true ); 以此关闭插件编辑器功能,一切就这么简单,漏洞也就不存在了.…

Wordpress是全球流行的博客网站,全球有上百万人使用它来搭建博客.他使用PHP脚本和Mysql数据库来搭建网站. 那么,如果当我们在渗透测试过程中获得到了别人Wordpress的账号和密码之后,如何才能拿到该服务器的shell呢? 我们可以利用Wordpress主题编辑的功能,在主题的页面中插入我们构造的恶意的php代码,来获得服务器的shell. 具体实施过程如下: 我们点击   Appearance-->Editor 我们这里第一步随便选一个主题,我这里选的是 Twenty Fourt…

漏洞名称: WordPress FunCaptcha插件跨站脚本漏洞 CNNVD编号: CNNVD-201311-431 发布时间: 2013-11-29 更新时间: 2013-11-29 危害等级:    漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号:   WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.FunCaptcha是其中的一个垃圾邮件过滤插件.         WordPress的Fu…

漏洞名称: Wordpress prettyPhoto插件跨站脚本漏洞 CNNVD编号: CNNVD-201311-413 发布时间: 2013-11-28 更新时间: 2013-11-28 危害等级:    漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号:   漏洞来源: Rafay Baloch WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Pretty Photo其中的一个基于jquery(…

漏洞名称: WordPress Platinum SEO插件跨站脚本漏洞 CNNVD编号: CNNVD-201309-398 发布时间: 2013-09-24 更新时间: 2013-09-24 危害等级: 中危   漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2013-5918 WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Platinum SEO是其中的一个搜索引擎优化插件.   …

漏洞名称: WordPress Download Monitor插件跨站脚本漏洞 CNNVD编号: CNNVD-201308-139 发布时间: 2013-08-14 更新时间: 2013-08-14 危害等级: 中危   漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2013-5098 WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Download Monitor是其中的一个管理文件…

漏洞名称: WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞 CNNVD编号: CNNVD-201307-609 发布时间: 2013-07-31 更新时间: 2013-07-31 危害等级: 低危   漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2013-4944 WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Budd…

四处寻觅无果.无意看了一下wordpress官方的API函数.苍天有眼啊!原来,后台的编辑器可以插入很多增强功能.果断卸载掉CK and SyntaxHighlighter编辑器插件.事实上,Wordpress的编辑器很强大,几乎包含所有的编辑器按钮.只是程序默认的功能比较少而已吖! 马上为自己的wordpress默认编辑器添加了常用的实用功能做下测试,效果还真是很不错的吖.哈哈看图! 是不是和默认的那个简陋的编辑器不一样呢?最后一行功能是用代码加上的.这些功能默认编辑器是没有的!只是我们需要把…

漏洞名称: WordPress Checkout插件跨站脚本漏洞和任意文件上传漏洞 CNNVD编号: CNNVD-201311-015 发布时间: 2013-11-04 更新时间: 2013-11-04 危害等级:    漏洞类型: 输入验证 威胁类型: 远程 CVE编号:   漏洞来源: DevilScreaM WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Checkout是其中的一个购物车插件. …

漏洞名称: WordPress Tweet Blender插件跨站脚本漏洞 CNNVD编号: CNNVD-201310-645 发布时间: 2013-10-30 更新时间: 2013-10-30 危害等级:    漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号:   漏洞来源: High-Tech Bridge SA WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.Tweet Blender是其中的…