wordpress XMLRPC中的system.multicall总是给出不正确的用户名或密码答案

【问题标题】：system.multicall in wordpress XMLRPC always gives Incorrect username or passwordwordpress XMLRPC中的system.multicall总是给出不正确的用户名或密码
【发布时间】：2022-10-05 18:07:18
【问题描述】：

我在 JMeter 中进行测试。对于任何使用 xmlrpc 的 wordpress 站点，如果我在第一个实例中添加正确的用户名和密码，那么我会得到正确的输出，但是如果我在第二个实例（或之后）中添加正确的凭据，那么我总是会得到“不正确的”用户名或密码\"。

POST /xmlrpc.php HTTP/1.1
Host: example.com

<?xml version=\"1.0\"?>
    <methodCall>
    <methodName>system.multicall</methodName>
    <params>
      <param><value><array><data>
      <value><struct>
      <member>
        <name>methodName</name>
        <value><string>wp.getUsersBlogs</string></value>
      </member>
      <member>
        <name>params</name><value><array><data>
        <value><array><data>
        <value><string>User1</string></value>
        <value><string>password1</string></value>
        </data></array></value>
        </data></array></value>
      </member>
      </struct></value>
      <value><struct>
      <member>
        <name>methodName</name>
        <value><string>wp.getUsersBlogs</string></value>
      </member>
      <member>
        <name>params</name>
        <value><array><data>
        <value><array><data>
          <value><string>User2</string></value>
          <value><string>Password2</string></value>
          </data></array></value>
        </data></array></value>
      </member>
      </struct></value>
      </data></array></value>
      </param>
    </params>
    </methodCall>

标签： java post jmeter postman xml-rpc

【解决方案1】：

我在玩同样的漏洞，偶然发现了同样的行为。我在一个讨论相同问题的 XML-RPC 蛮力项目中找到了this GitHub issue。从 WordPress 版本 4.7.x 开始，该漏洞似乎已经修复。我还在寻找这个补丁什么时候被完全修复......

【讨论】：