【问题标题】:system.multicall in wordpress XMLRPC always gives Incorrect username or passwordwordpress XMLRPC中的system.multicall总是给出不正确的用户名或密码
【发布时间】:2022-10-05 18:07:18
【问题描述】:

我在 JMeter 中进行测试。对于任何使用 xmlrpc 的 wordpress 站点,如果我在第一个实例中添加正确的用户名和密码,那么我会得到正确的输出,但是如果我在第二个实例(或之后)中添加正确的凭据,那么我总是会得到“不正确的”用户名或密码\"。

POST /xmlrpc.php HTTP/1.1
Host: example.com

<?xml version=\"1.0\"?>
    <methodCall>
    <methodName>system.multicall</methodName>
    <params>
      <param><value><array><data>
      <value><struct>
      <member>
        <name>methodName</name>
        <value><string>wp.getUsersBlogs</string></value>
      </member>
      <member>
        <name>params</name><value><array><data>
        <value><array><data>
        <value><string>User1</string></value>
        <value><string>password1</string></value>
        </data></array></value>
        </data></array></value>
      </member>
      </struct></value>
      <value><struct>
      <member>
        <name>methodName</name>
        <value><string>wp.getUsersBlogs</string></value>
      </member>
      <member>
        <name>params</name>
        <value><array><data>
        <value><array><data>
          <value><string>User2</string></value>
          <value><string>Password2</string></value>
          </data></array></value>
        </data></array></value>
      </member>
      </struct></value>
      </data></array></value>
      </param>
    </params>
    </methodCall>

    标签: java post jmeter postman xml-rpc


    【解决方案1】:

    我在玩同样的漏洞,偶然发现了同样的行为。 我在一个讨论相同问题的 XML-RPC 蛮力项目中找到了this GitHub issue。从 WordPress 版本 4.7.x 开始,该漏洞似乎已经修复。 我还在寻找这个补丁什么时候被完全修复......

    【讨论】:

      猜你喜欢
      • 2021-03-14
      • 2017-06-11
      • 1970-01-01
      • 2018-11-20
      • 2016-12-02
      • 2016-05-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多