«

分分钟干死你的WordPress网站或者任意网站

时间:2018-3-2 17:00     作者:admin     分类: 渗透测试


今天到处逛博客看到一个新(旧)闻:WordPress4.9.2(含)以前的网站含有DoS漏洞,可以用一台电脑轻松down掉网站。来源链接; CVEPoC (这个POC只适合python2.7+,python3,并不适合,我作了修改使其能在python3上执行,地址:https://github.com/Mr-xn/CVE-2018-6389/blob/master/Py3-CVE-2018-6389.py

我仅仅测试了一下我的友链里面的使用了wordpress的大哥,而且正好他的版本是符合的(echo "再此先向phpthinking大哥道歉!-_-| " > 偷笑.jpg):

shotpic_2018-03-02_16-51-50.png

首先看一下我们一开始打开的时间(大概3秒左右):

shotpic_2018-03-02_17-28-11.png

运行5分钟后出现500错误:

shotpic_2018-03-02_16-45-14.png

再次刷新打开网站需要2分钟左右,我停止了。。。测试到就行。

shotpic_2018-03-02_16-49-11.png

测试的时候你的CPU和网络会占用很多的。。。小心把自己测试死机了!

shotpic_2018-03-02_17-30-03.png

另外附上这个,一条命令(VPS上执行)即可放到没有防护措施的网站。。。2333 玩一下就好了!开心就好!

for i in `seq 1 1 10000`; do wget -q -O /dev/null 'http://www.example.com' & done

结束!

此次的漏洞具有利用价值,但是在最新版本的WordPress上面已经不起作用。如果站长看到了这篇文章,强烈建议更新到最新版本。

同时,虽然这次的攻击CloudFlare不能提供有效防护,为了避免未来的DoS和其他攻击方式,还是建议开启CDN进行源站IP的匿名化处理,还有针对其他普通DoS的防护。

参考链接以及漏洞的详细介绍看这里:https://mark1998.com/cve-2018-6389/

最好这个循环大量获取网站内容导致PHP倒下的链接:链接太长直接点我吧!

标签: DDOS

版权所有:Mrxn's Blog
文章标题:分分钟干死你的WordPress网站或者任意网站
除非注明,文章均为 Mrxn's Blog 原创,请勿用于任何商业用途,转载请注明作者和出处 Mrxn's Blog

扫描二维码,在手机上阅读

推荐阅读:

评论:
avatar
情感口述 2018-11-06 14:59
吓得我纠结了好久该不该留言了。。。
commentator
Mrxn 2018-11-09 19:07
@情感口述:怕啥。。。
avatar
wys 2018-03-27 21:00
还好我网站只有文本数据,也不是什么机密内容,每次更新都会将数据备份到本地。
commentator
Mrxn 2018-03-29 18:45
@wys:不管机密与否 保持备份的习惯总是好的!
avatar
cnjoel博客 2018-03-04 08:48
兄弟,麻烦改下我的友链:https://www.cnJoel.com/(cnjoel博客) 网址中是https,有个s,谢谢了。
commentator
Mrxn 2018-03-04 09:25
@cnjoel博客:好的 已修改
avatar
Flyer 2018-03-03 00:40
小生怕怕 我那个wordpress博客  从来不升级
commentator
Mrxn 2018-03-03 12:31
@Flyer:没啥实际价值 怕啥。。。