我把宝塔bt的waf破解了

“天王盖地虎，宝塔镇河妖”里面的“宝塔”在程序员的世界里面是 ------- 宝塔面板- 简单好用的Linux/Windows服务器管理面板。

作为宝塔里面众多收费插件中一个 ------ 网站防火墙waf，对于网站的安全加固，sql注入防范，xss攻击防范有着十分重要的作用。waf 也有很多开源的方案，比如用的最多的 openresty+lua 做waf，据说很多大厂也是拿了github上的代码改改。宝塔也是利用此方案来做的网站防火墙，然后结合自身的系统做了一些工作，就有了一些人性化的操作了。

比如CC防御、各种参数的过滤、黑白名单等设置只需要理解正则表达式，然后手动设置下就可以完成了。

而很多开源的方案对于配置的设置比较复杂，本着拿来能用，用起来爽的精神，我是十分感谢宝塔的贡献的，然后花了 20元买了一个月的，研究了一下它的代码，发现对于代码的保护其实很弱，编译后的pyc 也很快就找到了 py文件。

需要安装 bt 5.9

Linux面板5.9（稳定版）安装命令：

Centos安装命令：

yum install -y wget && wget -O install.sh http://download.bt.cn/install/install.sh && sh install.sh

Ubuntu/Deepin安装命令：

wget -O install.sh http://download.bt.cn/install/install-ubuntu.sh && sudo bash install.sh

破解完毕后写了个简单的脚本，上传到了github   https://github.com/hani1990/bt-waf-crack   , 首先你的机器上装了宝塔 lnmp环境，然后 clone 代码之后直接运行 install.sh install 就可以安装 waf 了。

启动waf的效果，拦截get参数

拦截日志查看

---

我的https://www.jianshu.com/u/d78ad7080153

我的个人博客http://www.520happy.cn/

我的微信公众号  ：创业者hani