我把宝塔bt的waf破解了

“天王盖地虎,宝塔镇河妖”里面的“宝塔”在程序员的世界里面是 ------- 宝塔面板- 简单好用的Linux/Windows服务器管理面板。

作为宝塔里面众多收费插件中一个 ------ 网站防火墙waf,对于网站的安全加固,sql注入防范,xss攻击防范有着十分重要的作用。waf 也有很多开源的方案,比如用的最多的 openresty+lua 做waf,据说很多大厂也是拿了github上的代码改改。宝塔也是利用此方案来做的网站防火墙,然后结合自身的系统做了一些工作,就有了一些人性化的操作了。

比如CC防御、各种参数的过滤、黑白名单等设置只需要理解正则表达式,然后手动设置下就可以完成了。

我把宝塔bt的waf破解了_第1张图片

而很多开源的方案对于配置的设置比较复杂,本着拿来能用,用起来爽的精神,我是十分感谢宝塔的贡献的,然后花了 20元买了一个月的,研究了一下它的代码,发现对于代码的保护其实很弱,编译后的pyc 也很快就找到了 py文件。

需要安装 bt 5.9

Linux面板5.9(稳定版)安装命令:

Centos安装命令:

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh

Ubuntu/Deepin安装命令:

wget -O install.sh http://download.bt.cn/install/install-ubuntu.sh && sudo bash install.sh

破解完毕后写了个简单的脚本,上传到了github   https://github.com/hani1990/bt-waf-crack   , 首先你的机器上装了宝塔 lnmp环境,然后 clone 代码之后直接运行 install.sh install 就可以安装 waf 了。

启动waf的效果,拦截get参数

我把宝塔bt的waf破解了_第2张图片


拦截日志查看

我把宝塔bt的waf破解了_第3张图片



我把宝塔bt的waf破解了_第4张图片





我的https://www.jianshu.com/u/d78ad7080153

我的个人博客http://www.520happy.cn/

我的微信公众号  :创业者hani

我把宝塔bt的waf破解了_第5张图片

你可能感兴趣的:(我把宝塔bt的waf破解了)