WordPressの投稿とページに任意のコードを挿入します。 WordPressの投稿とページに任意のコードを挿入する適切なサービスを見つける
今日は、WordPressを例として、任意のHTMLコードを適切な場所に追加する方法を説明します。 チャンネルや広告などのカウンターコードかサブスクリプションコードか。 標準のWordPressウィジェットからコードを挿入します。
WordPress-任意のHTMLコードを追加します。
任意のHTMLコードを挿入したり、サイドバーでチャンネルに適切なサブスクリプションを作成したり、メインページにテキストを配置したりする必要が常にあります。多くのオプションがあり、すべてがニーズによって異なります。
最近のバージョンのWordPressには、任意のHTMLコードを追加するためのウィジェットがすでに組み込まれているため、個別のプラグインをインストールする必要はありません。
したがって、コードを追加するには、管理パネルの[外観]-\u003e [設定]タブに移動する必要があります。 ウィジェットを介して可能ですが、結果はすぐには表示されません。 私はより視覚的なエディターを好みます。
コードを追加する場所を選択します。 サイドバーにスピナーを追加したい。 「サイドバー」を選択します。名前が異なる場合があります。すべてテンプレートによって異なります。
新しいウィジェットが表示され、それを開いてコンテンツにコードを入力します。保存することを忘れないでください。
その結果、次のような結果が得られます。
このようにして、ウィジェットを使用できる場所ならどこにでもHTMLコードを追加できます。
以上で、この記事がお役に立てば幸いです。
人気のあるバージョン制御システムGitHubの企業バージョンの重大な脆弱性により、許可されたユーザーはシステム上で任意のコードを実行できます。 この脆弱性を悪用するには、キャッシングサービスへのインジェクションとオブジェクトインジェクションといういくつかの手法が一度に必要です。
一般情報
Addressable :: URI.parseメソッドは、渡されたURLを解析し、RFC 3986、RFC 3987、およびRFC 6570の仕様と照合します。これは、任意のサーバーに要求を送信できることを意味します。 他のアドレスチェックは実行されません。
ローカルアドレスlocalhost、127.0.0.1などを使用しようとした場合にのみ、システムは無効なホストエラーを返します。 ただし、単一のlocalhostではありません! このエラーは、アドレス0.0.0.0または略して0を使用するだけで回避できます。
それがどのように機能するか見てみましょう。 仮想マシンのポート31337(nc -lp 31337 -vvv)でリッスンしましょう。 次に、URLhttp://0.0.0.0:31337 / testを使用してWebhookを作成します。 「追加」ボタンを押すと、すぐにリクエストが届きます。
私たちは自分自身を祝福することができます、私たちはSSRFの脆弱性を発見しました。 はい、単純ではありませんが、有効なHTTP応答として設計されている場合は、サーバーの応答も表示されます。
今、あなたはそれで何ができるかを理解する必要があります。
私は理由のためにlocalhostに到達するために一生懸命努力していました。 GitHub Enterpriseは大規模で複雑なアプリケーションであるため、内部で多数のヘルパーサービスが実行されています。 ステータスバーだけを見てください。
ここにElastic、Redis、Memkeshがあります。 選択してください-私はしたくありません!
Memcachedから始めましょう。 彼とのコミュニケーションのプロトコルはテキストであるため、注入を試みることができます。 キャリッジリターン文字を使用してフックを作成し、HTTPリクエスト分割を実行してみましょう。
Http:// 0:31337 / Hello%0D%0Aworld 
それはうまくいきませんでした。 さて、絶望しないでください、このサーバーはまだ利益を得る何かを持っています。
適切なサービスを探す
今こそ、開いているポートを確認するときです。 コマンドsudonetstat -anp |を実行します。 grep-iリッスン。
これは、ネットワーク上で利用できるサービスの印象的なリストです。 ローミングする場所があり、ポート1337も開いています😉
あなたが覚えているなら、私はSSRFがあなたに答えを読むことを許すと言いました。 これは、ブラックボックスの浸透テスト中に使用できます。 たとえば、悪名高いポート1337に何があるかを見てみましょう。フックhttp:// 0:1337 /を作成し、それを開いて[最近の配信]までスクロールします。 そこで、[応答]タブで、サーバーからの応答を確認できます。 リクエストを再送信する場合は、[再配信]ボタンを使用してください。
継続は会員のみが利用できます
オプション1.「サイト」コミュニティに参加して、サイト上のすべての資料を読みます
指定された期間中にコミュニティに参加すると、すべてのハッカーの資料にアクセスできるようになり、個人の累積割引が増え、プロのXakepスコアを蓄積できるようになります。
WordPressサイトの投稿やページに任意のコードを挿入する必要がある場合は、Global ContentBlocksプラグインを使用できます。 プラグインは重くなく、HTML、PHP、任意のコード、サブスクリプションフォーム、AdSense広告、テキストブロックを記事またはページにすばやく簡単に挿入できます。 これを使用すると、phpコードをサイトテンプレートに挿入して、2列または3列にブロックを配置できます。 プラグインは常に更新されており、最高のWordPressプラグインの1つとして分類できます。
ダウンロードとインストール
標準的な手順を実行します。 でプラグインをインストールする場合は、プラグインの公式ページのアドレスを指定します。 https://ru.wordpress.org/plugins/global-content-blocks/
グローバルコンテンツブロックプラグインの構成
そのため、プラグインの設定はありません。 プラグインをアクティブ化すると、コンソールにメニューが表示されます。 グローバルコンテンツブロック..。 プラグインページに、コントロールタブが表示されます。
- ブロックの管理(1)-プラグインブロック管理。
- コンテンツブロックの追加(2)-ブロックの追加。
- 設定(3)-別のサイトからのブロックのインポート。
また、プラグインブロックを追加するためのボタンがサイトエディタに表示されます。
エディターでグローバルコンテンツブロックを追加するためのボタン Global Content Blocksプラグインを使用して、WordPressの投稿とページにカスタムコードを埋め込みます
プラグインの操作は簡単です。
- ブロックを追加するためのページに移動します。
- 新しいブロックに名前(1)を付け、
- ショートコード(2)のラテン語の名前を付けます。
- コンテンツのタイプを選択します(3)。
- ブロックに配置する画像(5)を選択できます。
- ブロック(4)の内容を挿入します。
新しいグローバルコンテンツブロックを作成する みなさん、こんにちは! 今日はブログのようにちょっとした指導を計画しています 検索から来たユーザーに任意のコードを表示する テンプレートのどこでも。
私は数ヶ月前にこの方法の実用的なアプリケーションを見つけました。 その時、検索エンジンからの訪問者は、ニュースレターを購読するためにヘッダーの下に招待文字列を表示しました。
ご想像のとおり、この行は1回だけ表示されました。検索エンジンからの最初の移行中に、ページを閲覧すると消えて、再び表示されませんでした。 もちろん、同じユーザーが再びブログに戻らなかった場合。
例としてサブスクリプションを示しましたが、広告行や広告などの表示を整理することもできます。 そしてもちろん、場所はヘッダーに限定されません。このコードはテンプレートのどこにでも表示できます。 スクリプト実装の実際的な部分に取り掛かりましょう。
リクエストのソースを決定する関数(HTTPリファラー)
まず、新しい関数fromsearch(条件付き翻訳-「fromsearch」)を作成します。関数の名前は何でもかまいません。主なことは、将来、受け入れられた名前を覚えて使用することです。 この機能は 遷移のソースを決定する -PS、別のサイトなど。 PSに興味があります。 したがって、WordPressで、コードをfunctions.phpテンプレートファイルに貼り付けます。
関数fromsearch()($ ref \u003d $ _SERVER ["HTTP_REFERER"]; $ SE \u003d array( "/ search?"、 "images.google。"、 "search。"、 "yandsearch"、 "/ search /"、".yahoo。" ); foreach($ SE as $ source)(if(strpos($ ref、$ source)!\u003d\u003d false)return true;)return false;)3行目は、ルールが実行されるエージェントを指定し、将来的に任意のコードが表示されることに注意してください。 これで本体は完成ですが、便利な場所に機能を表示することができます。
検索エンジンからナビゲートするときの任意のコード出力
次のステップは、事前定義された関数をページに表示することです。 これを行うには、テンプレートファイルに挿入する次の行を使用します。たとえば、index.phpを使用します。
たとえば、サブスクリプションを含む完全なコードは次のようになります。
以上で、関数の出力は終了です。次の手順に進みます。
ブロックのスタイル、PSの訪問者のコードを表示
クラスに割り当てることは残っています showfromsearch デザインのスタイル、フィット、他のブロックに対する位置の調整。 上記のすべてを変更せずにすぐに使用できる場合、カスタム設計のための特定のソリューションはありません。
それはすべて、この機能が表示されるレイアウトと場所によって異なります。 外見上、例で引用した私の行は次のようになりました。
赤い矢印でマークされたブロックは、検索エンジンから来たユーザーにのみ表示され、他のすべての遷移では表示されません。 style.cssファイルでデザインスタイルを設定した例を示します。
.showfromsearch(width:900px; border:0; text-align:left; margin:auto; padding:0;)そして再び私はあなたの注意を引きます:このスタイルは関数を持つブロックに割り当てられます、すなわち。 ブロック自体の外観と場所をカスタマイズしますが、ブロック内の内容はカスタマイズしません。 内部コンテンツにはカスタムスタイルが使用されます。 サブスクリプションを表示した上のスクリーンショットを見ると、線の周りの境界線、背景、および画像が別のクラスに割り当てられています( 警告)テキストを含みます。
こちらです 検索からの遷移のコードが表示されます、おそらく繰り返しますが、この方法を使用すると、他のサイトに表示できますが、ブックマーク、直接アクセス、または他のサイトのリンクからの通常の読者には、このコンテンツは表示されません。
