分分钟干死你的WordPress网站或者任意网站
时间:2018-3-2 17:00 作者:admin 分类: 渗透测试
今天到处逛博客看到一个新(旧)闻:WordPress4.9.2(含)以前的网站含有DoS漏洞,可以用一台电脑轻松down掉网站。来源链接; CVE;PoC (这个POC只适合python2.7+,python3,并不适合,我作了修改使其能在python3上执行,地址:https://github.com/Mr-xn/CVE-2018-6389/blob/master/Py3-CVE-2018-6389.py
我仅仅测试了一下我的友链里面的使用了wordpress的大哥,而且正好他的版本是符合的(echo "再此先向phpthinking大哥道歉!-_-| " > 偷笑.jpg):
首先看一下我们一开始打开的时间(大概3秒左右):
运行5分钟后出现500错误:
再次刷新打开网站需要2分钟左右,我停止了。。。测试到就行。
测试的时候你的CPU和网络会占用很多的。。。小心把自己测试死机了!
另外附上这个,一条命令(VPS上执行)即可放到没有防护措施的网站。。。2333 玩一下就好了!开心就好!
for i in `seq 1 1 10000`; do wget -q -O /dev/null 'http://www.example.com' & done
结束!
此次的漏洞具有利用价值,但是在最新版本的WordPress上面已经不起作用。如果站长看到了这篇文章,强烈建议更新到最新版本。
同时,虽然这次的攻击CloudFlare不能提供有效防护,为了避免未来的DoS和其他攻击方式,还是建议开启CDN进行源站IP的匿名化处理,还有针对其他普通DoS的防护。
参考链接以及漏洞的详细介绍看这里:https://mark1998.com/cve-2018-6389/
最好这个循环大量获取网站内容导致PHP倒下的链接:链接太长直接点我吧!
标签: DDOS
推荐阅读: