WordPress yazılarına ve sayfalarına rastgele kod ekleyin. WordPress yazılarına ve sayfalarına rastgele kod ekleyin Doğru hizmetleri bulmak

Bugün size örnek olarak WordPress kullanarak keyfi HTML kodunu doğru yere nasıl ekleyeceğinizi anlatmak istiyorum. İster bir sayaç kodu ister kanalınız için bir abonelik kodu, reklamcılık vb. Kodu standart WordPress widget'ı aracılığıyla ekleyeceğiz.

WordPress - rastgele HTML kodu ekleyin.

Her zaman rastgele HTML kodu eklemeye, kenar çubuğunda kanalınıza hoş bir abonelik oluşturmaya veya sadece ana sayfaya metin yerleştirmeye ihtiyaç vardır, birçok seçenek vardır, her şey ihtiyaçlarınıza bağlıdır.

WordPress'in son sürümleri, rastgele HTML kodu eklemek için zaten yerleşik bir widget'a sahiptir, bu nedenle ayrı eklentiler kurmaya gerek yoktur.

Bu yüzden kodumuzu eklemek için yönetici panelinden "Görünüm" -\u003e "Ayarlar" sekmesine gitmemiz gerekiyor. Widget'larla mümkün, ancak o zaman sonucu hemen göremeyeceğiz. Daha görsel bir editörü tercih ederim.

Kodumuzu eklemek istediğimiz yeri seçiyoruz. Kenar çubuğuna bir döndürücü eklemek istiyorum. "Kenar Çubuğu" nu seçiyoruz, farklı bir adınız olabilir, hepsi şablona bağlıdır.

Yeni bir widget görünecek, açın ve kodumuzu içeriğe girin, kaydetmeyi unutmayın.

Sonuç olarak, aşağıdaki sonucu elde ederiz.

Bu şekilde, widget'ları kullanabildiğiniz her yere HTML kodu ekleyebilirsiniz.

Hepsi bu, umarım bu makale yararlı olmuştur.

Popüler sürüm kontrol sistemi GitHub'ın kurumsal sürümündeki kritik bir güvenlik açığı, herhangi bir yetkili kullanıcının sistemde rastgele kod çalıştırmasına olanak tanır. Bu güvenlik açığından yararlanmak için aynı anda birkaç teknik gereklidir: önbelleğe alma hizmetine ekleme ve nesne ekleme.

Genel bilgi

Addressable :: URI.parse yöntemi aktarılan URL'yi ayrıştırır ve bunu RFC 3986, RFC 3987 ve RFC 6570 spesifikasyonlarına göre kontrol eder.Bu, herhangi bir sunucuya istek gönderebileceğimiz anlamına gelir. Başka hiçbir adres kontrolü yapılmaz.

Yalnızca localhost, 127.0.0.1 ve benzeri yerel adresleri kullanmaya çalıştığınızda, sistem bir Geçersiz ana bilgisayar hatası döndürür. Ancak, tek bir yerel ana bilgisayar değil! Bu hata, kısaca 0.0.0.0 veya 0 adresi kullanılarak basitçe çözülebilir.

Nasıl çalıştığını görelim. Sanal makine üzerinde 31337 (nc -lp 31337 -vvv) portunu dinleyelim. Ve sonra http://0.0.0.0:31337/test URL'si ile bir webhook oluşturun. "Ekle" butonuna bastıktan sonra hemen bir istek alıyoruz.

Kendimizi tebrik edebiliriz, bir SSRF zafiyeti keşfettik. Evet, basit değil, ancak geçerli bir HTTP yanıtı olarak tasarlanmışsa sunucunun yanıtını da gösterir.

Şimdi onunla ne yapabileceğinizi bulmanız gerekiyor.

Bir sebepten dolayı localhost'a ulaşmak için çok uğraşıyordum. GitHub Enterprise büyük ve karmaşık bir uygulamadır, bu nedenle içinde çalışan bir dizi yardımcı hizmet vardır. Durum çubuğuna tek başına bir göz atın.

Burada Elastic, Redis ve Memkesh var. Seçin - İstemiyorum!

Memcached ile başlayalım. Onunla iletişim protokolü metinseldir, bu yüzden enjekte etmeyi deneyebilirsiniz. Satır başı karakterleri ile bir kanca oluşturarak HTTP İstek Bölme yapmayı deneyelim.

Http: // 0: 31337 / Merhaba% 0D% 0Aworld

İşe yaramadı. Tamam, umutsuzluğa kapılmayalım, bu sunucunun hala yararlanabileceği bir şey var.

Uygun hizmetleri arayın

Şimdi açık bağlantı noktalarına bakma zamanı. Sudo netstat -anp | komutunu çalıştırın. grep -i DİNLE.

İşte ağ üzerinden kullanılabilen çok etkileyici bir hizmet listesi. Dolaşılacak yer var, hatta 1337 numaralı bağlantı noktası açık 😉

Hatırlarsanız, SSRF'nin cevabı okumanıza izin verdiğini söylemiştim. Bu, kara kutu penetrasyon testleri sırasında kullanılabilir. Örneğin, kötü şöhretli bağlantı noktası 1337'de ne olduğunu görelim. Bir kanca http: // 0: 1337 / oluşturun, açın ve Son Teslimatlar'a ilerleyin. Orada, Yanıt sekmesinde, sunucudan gelen yanıtı görebilirsiniz. İsteği yeniden göndermek istiyorsak, Yeniden Gönder düğmesi hizmetinizdedir.

Devam sadece üyelere açıktır

Seçenek 1. Sitedeki tüm materyalleri okumak için "site" topluluğuna katılın

Belirtilen süre boyunca topluluk üyeliği, TÜM Hacker materyallerine erişmenizi sağlayacak, kişisel birikimli indiriminizi artıracak ve profesyonel bir Xakep Puanı biriktirmenize olanak sağlayacaktır!

WordPress sitenizdeki yazılara ve sayfalara rastgele kod eklemeniz gerekiyorsa, Global İçerik Blokları eklentisini kullanabilirsiniz. Eklenti ağır değildir, HTML, PHP, rastgele kodlar, abonelik formları, Adsense reklamları, metin bloklarını bir makaleye veya sayfaya hızlı ve kolay bir şekilde eklemenizi sağlar. Yardımı ile site şablonuna php kodu ekleyebilir ve iki veya üç sütun halinde bloklar yerleştirebilirsiniz. Eklenti sürekli olarak güncellenir ve en iyi WordPress eklentilerinden biri olarak sınıflandırılabilir.

İndirin ve kurun

Standart adımlardan geçiyoruz. Eklentileri ile yüklerseniz, eklentinin resmi sayfasının adresini veririm: https://ru.wordpress.org/plugins/global-content-blocks/

Global İçerik Blokları Eklentisini Yapılandırma

Bu nedenle, eklenti ayarı yoktur. Eklentiyi etkinleştirdikten sonra konsolda bir menü belirir: Global İçerik Blokları... Eklenti sayfasında kontrol sekmelerini görüyoruz:

• Blokları Yönet (1) - eklenti blok yönetimi;
• Bir İçerik Blokları Ekleyin (2) - bloklar eklemek;
• Ayar (3) - başka bir siteden blokların içe aktarılması.

Ayrıca, site düzenleyicide eklenti blokları eklemek için bir düğme görünür.

düzenleyicide Global İçerik Blokları eklemek için düğme

Global İçerik Blokları eklentisini kullanarak WordPress gönderilerine ve sayfalarına özel kod yerleştirin

Eklentiyle çalışmak çok kolay:

• Bir blok eklemek için sayfaya gidiyoruz;
• Yeni bloğa bir ad (1) verin,
• Kısa kod (2) için ona Latince bir isim veriyoruz;
• İçerik türünü seçin (3);
• Bloğa yerleştirilecek bir resim (5) seçebilirsiniz;
• Bloğun içeriğini (4) ekleyin.

Yeni bir Global İçerik Blokları oluşturun

Herkese merhaba! Bugün için planlanmış küçük bir talimatım var - bir blogda olduğu gibi aramadan gelen kullanıcılar için rastgele kod görüntüleme şablonun herhangi bir yerinde.

Bu yöntemin pratik uygulamasını birkaç ay önce buldum. O sırada, arama motorlarından gelen ziyaretçiler, haber bültenine abone olmak için başlığın altında bir davet dizisi görüntüledi.

Tahmin edebileceğiniz gibi, satır yalnızca bir kez görüntülendi - arama motorundan ilk geçiş sırasında, ardından sayfalarda gezinirken kayboldu ve bir daha görünmedi. Tabii aynı kullanıcı bloga geri dönmediyse.

Örnek olarak bir abonelik verdim, ancak reklam satırlarının, herhangi bir reklamın vb. Görüntüsünü de düzenleyebilirsiniz. Ve elbette, konum başlık ile sınırlı değildir, bu kod şablonun herhangi bir yerinde görüntülenebilir. Senaryo uygulamasının pratik kısmına geçelim.

İsteğin kaynağını belirleyen işlev (HTTP yönlendiren)

Her şeyden önce, aramadan (koşullu çeviri - "aramadan") yeni bir işlev oluşturuyoruz, işlevin adı herhangi bir şey olabilir, asıl önemli olan akılda tutmak ve gelecekte kabul edilen adı kullanmaktır. Bu işlev geçişin kaynağının belirlenmesi - bir PS, başka bir site vb. PS ile ilgileniyoruz. Dolayısıyla, WordPress'te kodu functions.php şablon dosyasına yapıştırın:

işlevden arama ()($ ref \u003d $ _SERVER ["HTTP_REFERER"]; $ SE \u003d array ("/ search?", "images.google.", "search.", "yandsearch", "/ search /", ".yahoo." ); foreach ($ kaynak olarak $ SE) (if (strpos ($ ref, $ kaynak)! \u003d\u003d false) true döndür;) false döndür;)

Üçüncü satırın, kuralın yürütüleceği aracıları gösterdiğini ve gelecekte isteğe bağlı kodun gösterileceğini lütfen unutmayın. Bu, ana bölümü tamamlar, işlevi uygun herhangi bir yerde görüntülemeye devam eder.

Arama motorlarından gezinirken rastgele kod çıktısı

Sonraki adım, sayfada önceden tanımlanmış işlevi görüntülemektir. Bunu yapmak için şablon dosyasına eklediğimiz aşağıdaki satırları kullanıyoruz, örneğin index.php kullanıyorum: