官方网站开发WordPress更新emoji

1.命令执行漏洞

打开网站划到最下，此处的输入框存在任意命令执行漏洞

输入命令whoami

2.SQL注入

搜索框存在SQL注入，类型为整数型

最终结果可以找到管理员账户和密码

3.任意文件上传漏洞

在进入管理员后台后，上传木马文件

访问该文件，验证是否上传成功

成功

4.文件包含漏洞

在“关于”界面中可以看到本页面是直接采用本地包含，尝试看看能否包含其他文件

在phpinfo中可以看到远程文件包含关闭，所以可以尝试去本地文件包含

如图所示，在命令执行漏洞处上传sxy1.php，本地文件包含该文件

 5.xss漏洞

在登录界面用户名处存在xss漏洞