通过URL注入漏洞一分钟挂马

查看 71|回复 7
作者:wox   
帮忙看下站点访问日志和生成的木马文件:
https://www./thread-268983-1-1.html
折腾一上午找不到漏洞,只能把wp-code-highlight和wp-postviews这2个插件不用:
https://www./thread-268992-1-1.html
没事干,就花几分钟看了一眼,结果又让我想到我之前发布的一篇帖子
【web安全】URL注入测试:
https://www./thread-260669-1-1.html
思之令人发笑:


image.png (18.37 KB, 下载次数: 0)
下载附件
保存到相册
1小时前 上传

我发现很多人并不会在意安全问题,主打一个能用就行。

漏洞, 我想

美文苑文学网   
感谢楼主分享
im2828   
大佬求解答,漏洞在什么地方,不太懂代码
wox
OP
  
im2828 发表于 2026-7-4 13:07
大佬求解答,漏洞在什么地方,不太懂代码

通过URL注入代码,做一下URL拦截就行
im2828   
wox 发表于 2026-7-4 13:14
通过URL注入代码,做一下URL拦截就行

好的,大佬,
1.这个漏洞不是wordpress源码和插件出现的吗?
2.也就是说任何程序都有可能被攻破?
3.我把那个webshell删除了,还有安全漏洞吗?
wox
OP
  
im2828 发表于 2026-7-4 13:15
好的,大佬,
1.这个漏洞不是wordpress源码和插件出现的吗?
2.也就是说任何程序都有可能被攻破?
3.我把那个webshell删除了,还有安全漏洞吗?

主要就是通过/?s=index和/?tag两个链接注入,
把恶意代码和文件删了,再把这两个链接屏蔽了,
再使用安全软件,做好防护,防止其他URL注入。
没有绝对安全,只能做好防护。
wox
OP
  


im2828   
wox 发表于 2026-7-4 13:23
主要就是通过/?s=index和/?tag两个链接注入,
把恶意代码和文件删了,再把这两个链接屏蔽了,
再使用安全软件,做好防护,防止其他URL注入。
没有绝对安全,只能做好防护。

感谢大佬指点
您需要登录后才可以回帖 登录 | 立即注册

返回顶部