分分钟干死你的WordPress网站或者任意网站

2018-3-2 / 8 评论 渗透测试 / Mrxn

本文共计 747 字,感谢您的耐心浏览与评论.

今天到处逛博客看到一个新(旧)闻:WordPress4.9.2(含)以前的网站含有DoS漏洞,可以用一台电脑轻松down掉网站。来源链接; CVEPoC (这个POC只适合python2.7+,python3,并不适合,我作了修改使其能在python3上执行,地址:https://github.com/Mr-xn/CVE-2018-6389/blob/master/Py3-CVE-2018-6389.py

我仅仅测试了一下我的友链里面的使用了wordpress的大哥,而且正好他的版本是符合的(echo "再此先向phpthinking大哥道歉!-_-| " > 偷笑.jpg):

shotpic_2018-03-02_16-51-50.png

首先看一下我们一开始打开的时间(大概3秒左右):

shotpic_2018-03-02_17-28-11.png

运行5分钟后出现500错误:

shotpic_2018-03-02_16-45-14.png

再次刷新打开网站需要2分钟左右,我停止了。。。测试到就行。

shotpic_2018-03-02_16-49-11.png

测试的时候你的CPU和网络会占用很多的。。。小心把自己测试死机了!

shotpic_2018-03-02_17-30-03.png

另外附上这个,一条命令(VPS上执行)即可放到没有防护措施的网站。。。2333 玩一下就好了!开心就好!

for i in `seq 1 1 10000`; do wget -q -O /dev/null 'http://www.example.com' & done

结束!

此次的漏洞具有利用价值,但是在最新版本的WordPress上面已经不起作用。如果站长看到了这篇文章,强烈建议更新到最新版本。

同时,虽然这次的攻击CloudFlare不能提供有效防护,为了避免未来的DoS和其他攻击方式,还是建议开启CDN进行源站IP的匿名化处理,还有针对其他普通DoS的防护。

参考链接以及漏洞的详细介绍看这里:https://mark1998.com/cve-2018-6389/

最好这个循环大量获取网站内容导致PHP倒下的链接:链接太长直接点我吧!

标签: DDOS

转载:转载请注明原文链接 - 分分钟干死你的WordPress网站或者任意网站


8条回应:“分分钟干死你的WordPress网站或者任意网站”

  1. 吓得我纠结了好久该不该留言了。。。

  2. wys

    还好我网站只有文本数据,也不是什么机密内容,每次更新都会将数据备份到本地。

  3. 兄弟,麻烦改下我的友链:https://www.cnJoel.com/(cnjoel博客) 网址中是https,有个s,谢谢了。

  4. 小生怕怕 我那个wordpress博客  从来不升级


发表评论

{view_code_no}