工具使用: nmap cewl wpscan(wordpress 扫描) find 提权 环境准备 1.下载DC-1靶机 2.将DC-2.ova导入到VMware中(具体流程:略) 3.用ip addr...从扫描的结果可知,80端口开放,默认ssh的22端口被更改为7744 c.信息验证 访问 http://192.168.33.129 ? 没想到竟然访问不通。...再次再浏览器上输入http://dc-2可以进行正常访问,打开之后看到是使用wordpress的cms框架搭建的主页。主页上面有Flag字样,点击进入内容如下: ?...,下面肯定也知道我要做什么了!...大致意思是:可怜的老汤姆总是在追求杰瑞。也许他应该为他所造成的压力而道歉。 这里是不是看不明白了。这里如果翻译就失去了提示的意义。flag3.txt的提示目的是下一步进入jerry。
插件主页 Excerpt Editor 快速编辑和创建文章或页面摘要的WordPress插件. 可以为页面自定义摘要, 自动生成摘要等等....插 件主页 RelatedPosts 这个WordPress 插件可以为你的文章或页面生成一份相关日志列表....插件主页 Ajax Post Save 可以让你在保存WordPress文章或页面的时候使用Ajax. 插件主页 wp-orderposts 文章排序插件....Advanced Permalinks 允许你的博客文章包含各种永久链接格式, 且不需要重定向. Last Viewed Posts 这个插件可以显示一份最近被用户浏览过的日志列表....Please Link 2 Me 请链接我! 这个WordPress插件可以在你的文章下面创建一个文本框, 里面显示该文章的快捷引用链接, 方便其它用户引用你的文章, 类似于视频网站的转贴代码.
WordPress缓存插件WP Fastest Cache插件使用教程 安装完成后,激活 WordPress Fastest Cache,可以在WordPress仪表盘的看到,点击后,即可进入到插件的设置界面...启用“缓存系统”后,页面被保存为静态html文件,因此PHP和MySQL对已缓存的页面不起作用。MySQL 和 PHP 用于生成尚未缓存的其他页面的 html。...这也将更新 blogrolls(即在您的主页或博客页面上)以显示新帖子。 更新帖子: 启用- 在更新帖子或页面时清除缓存文件。...3、图像优化 图像优化是另一个高级功能,可以压缩图像,减少对存储空间和页面加载时间的影响。...我应该将哪个 CDN 与 WP Fastest Cache 一起使用? Cloudflare 的免费 CDN 足以满足大多数站点的需求。
顺便说一下,其实有很多域名解析提供商或者主机提供商会提供将二级站点绑定到子目录的功能,这倒是挺方便的。然而我买的阿里云的主机配的万网的解析并没有提供这个功能,所以一切还得自己配置。...虽然阿里云貌似提供了教程,可是他那个教程也就是教你怎么弄301重定向,然而301重定向只能实现网页的跳转,在浏览器的地址栏上还是会显示丑陋的子目录名,跟二级站点的功能还差得远呢。...,用我指定的主页面,然后加一个ServerName 字段告诉主机他自己的名字(有没有必要不晓得),然后将ServerAdmin字段设置为自己的邮箱(写着玩的,理论上讲会收到通知,然而并没有受到过),后面的文档根目录和...设置301跳转 按理说照着上面弄就可以了,但是这样也有一个小漏洞,就是如果仍然直接访问带子目录的地址,网站还是会以子目录的形式表示我的二级站点。...对于其他的页面其实不用考虑,因为就算没有被识别,最终都会由于的确存在这个目录被apache自动识别而再被重定向。所以对于不在根目录下的文件要考虑最后的/符号。
而一般标准页面,可能需要2周。但是我认为 Google 不会只喜欢他们自己的 blog 软件,这个 blog 也被索引的非常快,并且在两周之后从 Google 得到流量。...但是我们同样要考虑到 exampleblog.blogspot.com 上有非常高比率的垃圾 blog。 小结:我看不出区别。 设计谈到设计,我想 WordPress 很明显是胜者。...错误.在我的印象中,Blogger 像是一个在开发中半成品,举个例子吧,好像在使用 labels 时候有个问题,无论什么时候在我的7个 Blogger 的 blog 上使用 labels,发表的时候,它总是报发表错误...如果在你 blog 的主页只显示你的 blog 文章的一部分是非常好的,并且当你到了 blog 页面的底部。你可以选择去下一页。这给人感觉像是读一本书。...总结: 总体来说我更喜欢 WordPress,但这只是我使用 WordPress 和 Blogger 的经验。其实对于这两个 blog 发布系统,我还是新人。所以我非常希望的到别人的意见和经验.
修改后的JavaScript将用户重定向到攻击者指定的网站。 ?...感染WordPress网站的搜索引擎优化(SEO) 受感染的WordPress站点的另一个实例是搜索引擎优化(SEO),已发现部署的PHP脚本在GET请求中接受关键字。 ?...如果$isbot未设置,而HTTP_REFERER包含Google、Bing或Yahoo等字符串,则会将其重定向到另一个服务网站。 ?...如上面例子所示,被破坏的网站发布的故事有明显的语法错误。攻击者通过WordPress的XML-RPC接口(API)实现,API允许数据传输并执行任务,如上传新文件、编辑和发布帖子。...WordPress网站的安全建议 上述示例只是已知攻击者使用的技术。易受攻击的WordPress网站如果没有适当的保护,很容易被利用。
想下当你手头有一本书或者一本杂志,当你看到有个简短的摘录,你的眼睛将总是先会扫它一眼看看它在说什么。可能对于报纸来说是它的标题可能会真正引起你的注意,激发你的兴趣。...在我的页面的头部,我使用像下面的代码来产生 H1 标签。 Google Inside."; } ?>当我使用这些代码的时候,我在主页(只有主页)把我的 blog 题目放在 H1 标签内。...对于专一的页面,我把页面的标题(就是这个页面关于什么)放在 H1 标签内。 看下我的主页的 H1 标签(查看源代码)然后看看一个页面,这个标题作为 H2 标签 (查看源代码)。...很多 blogs 只是简单让搜索引擎指出应该放置什么到描述中,但是我觉得能够控制访问者在搜索引擎结构见到东西是非常重要。 我使用了一个叫做 Another Wordpress Meta Plugin。...如果你发现有个插件对 meta 信息非常有用,请给我留言,我会将它加入这篇文章中,大概有大量的 meta 标签插件,但是我只对上面那个有经验,并且它对我工作的很好(Wordpress 2.1.2)。
这实际上是所需的响应,您可以创建自己的自定义404页面来帮助将访问者引导到正确的位置。 一样404报错不同的名称 由于不同的浏览器以不同的方式显示错误消息,因此对于此错误,您可能会看到不同的消息。...解决此问题的最佳方法是将尝试访问旧链接的访客自动重定向到新链接。这对于用户体验或者SEO优化,都积极的。...如果在不添加重定向的情况下移动页面内容或重命名页面URL地址名称,则会丢失指向该页面的反向链接的所有域名带来的权重。 WordPress默认情况下将尝试重定向更改或者移动的内容。...但这并不总是有效,不建议依赖WordPress来实现此功能。...是的,如果检测到的404死链数据均没有可代替的内容,则不需要考虑301重定向跳转规则设置,而应该将这些死链数据提交给百度搜索引擎,告知搜索引擎删除,以免这些旧数据影响到网站的评级。
什么是301重定向 页面永久性移走(301重定向)是一种非常重要的“自动转向”技术。网址重定向最为可行的一种办法。...当用户或搜索引擎向网站服务器发出浏览请求时,服务器返回的HTTP数据流中头信息(header)中的状态码的一种,表示本网页永久性转移到另一个地址。...--来自百科 301是一个状态码,结果是你访问一个地址,如果它做了301重定向,那你会被重定向到另外一个地址(浏览器跳转)。...我之前的wordpress空间,管理面版直接可以编辑网站根目录下的.htaccess的文件,添加: Redirect 301 /category/shujku http://www.the5fire.com...最后 最后要说的就是,大家以后就会从很漂亮的the5fire.net的页面重定向到现在的这个有些简陋的页面了。简陋不是问题,问题是不能有bug,有bug还请随地吐嘈。
2、在新服务器中使用宝塔面板安装 WordPress 一键部署包。...7、[可选] 关注数据库 wp_options 表中关于网站域名的设置,主要是 “siteurl” 和 “home” 两项,必要时可直接修改: 8、[可选] 解决主页和后台能访问,但是具体文章 404...而如果关闭跳转(注释 [图 8-1] 中的相关语句),宝塔提供了一个很丑的 404 页面(简单文本)。...实际上,WordPress 网站中一般都已经有 404 页面了: 我们只需要在 404 重定向设置界面设置自定义跳转页面即可(这里好像只能是绝对路径): 然后就可以了: 额,好像还是很丑,不是我之前记得的那个...本次我是换成了 全球云(LocVps),是因为之前买过一台了,在上面搭建了 MinIO、Trilium、Leanote,用着挺不错的,所以这次更换博客服务器还是选择了它。
因为购买的是西部数码的空间和域名,每当佐言把自己的WordPress博客网站搞到一塌糊涂的时候,收拾残局的总是西部数码的技术人员和客服人员。...因此,在这里我非常感谢他们不厌其烦的解决佐言一个又一个问题。 ...二、网站文件备份 在控制面板的主页面中找到“文件管理器”并点击进入网站的根目录打包所有的文件,压缩成为ZIP格式,然后下载备份到本地电脑上。 ...四、升级数据库 然后运行http://你的博客地址/wp-admin/upgrade.php,执行升级,会出现WordPress升级的提示页面,需要我们升级数据库,然后我们直接点击【升级WordPress...茹莱神兽才接触WordPress博客程序时,升级没有备份数据,不得不在发布外链的平台再次找到发布的文章复制到网站后台进行重新更新,这是良家佐言恢复的当时想到的最好的办法。
据我理解,按照标准当浏览器请求manifest文件时,若没有请求到,或者文件发生改变,应当不使用缓存,进行缓存更新的,然而实验的结果并不总是这样。...首先,拿百度主页做实验,用修改HOST文件的方式将百度主页离线缓存为其他内容(这里就可以加入恶意代码),再改回正常,表示回到正常的网络环境,主要要关闭浏览器,不然刷新百度其实还是发请求到被劫持的IP,可能是浏览器缓存了...由于支付宝是HTTPS,而小白我还不会搭建HTTPS……所以只用HTTP做了离线缓存攻击,当出现下面这页面时我惊呆了…安全软件在逗我么… 当回到正常环境时,用http访问支付宝页面会自动被302重定向到...https的页面,浏览器不会使用缓存的页面。...个人认为,对于类似百度网站这样的服务器设置,会导致缓存攻击成功,感觉是浏览器实现时的一个bug。如果支付宝https能被离线缓存攻击,那么危害性还是很大的。
Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。...感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。...这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如: ....他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ” 在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。...据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。
),才看到了被一句带过的index.html,于是把网页重命名为index.html(修改配置文件也是可以修改默认主页的),成功了!...如图为我当时建立网站之一: [1488432964695_8706_1488432964443.jpg] 一服多站 之后随着对CTF的了解,萌生了建立一个CTF资源站的想法,然后又想建立一个自己主页(这也算是一个小时候的梦想吧.../404.html'); //这里可以定向到你的404页面 } } ?...在服务器上安装wordpress wordpress是一个著名的博客系统,安装主要用到了mysql(phpstudy集成了),具体安装方法如下:配置MySQL 首先修改mysql的密码(针对忘了密码或者不知道密码的童鞋...中操作为例: 右击左侧localhost—新建—数据库 安装wordpress 到wordpress官网下载wordpress并上传到你的服务器某目录下; 访问"你的目录所绑定域名/wp-admin
当您将新内容发布到您的网站时,之前的帖子会关闭并最终移动到存档页面。粘性帖子允许您在WordPress中添加精选帖子,并在您的网站主页上以不同的方式显示它们。...你想在您的WordPress类别页面顶部添加置顶帖/文章吗?通过在类别页面上添加粘性帖子,您可以显示该特定类别的特色帖子。...这些帖子被称为粘性帖子,因为它们总是在网站的首页上。在WordPress CMS中称之为粘性帖子,因为您将帖子放在页面顶部。 ...在WordPress中为类别添加置顶帖/文章的最简单方法是使用WordPress Sticky Posts Switch插件,可让您在主页、存档页面和分类页面上设置置顶文章。 ...Sticky Posts Switch插件教程WordPress中为分类添加置顶文章 此外还可以选择在主页、帖子存档页面或分类页面(如类别和标签)上显示粘性帖子的位置。
我总是能看到超高的跳出率,即使是我自己的网站。但是这并不总是令我担忧。 有些人看到他们的网站跳出率高过50%时会恐慌。 多数人会认为,网站跳出率高过50%说明网站的内容或者着陆页没有达到应有的表现。...但这有一个问题:谷歌不能分辨一次互动的好坏。 谷歌只能监控一次互动30分钟。 如果访客到访你的网站,花费15分钟滚动浏览你的主页,跟着去检查他的邮件再回到你的主页点击另一个页面。...即使他们在一个浏览器标签页下订单,然后再在另一个标签页浏览,如果一个标签页打开且在30分钟内没有任何互动,它仍然被记录为一个跳出。...许多网站现在重定向非-SSL的流量(从HTTP页面)到HTTPS页面。这应该被认为是推介链接流量,这种流量不应该影响你的跳出率因为没有真实的互动产生。...如果访客不能和网站互动(因为他们被重定向了),但是你没有意识到这点,这会令你误以为网站设计的很差。 时机和流量来源的影响很大。
在我在 WordPress 官方申请发布新插件时,发现博客联盟的导航插件居然也有一百多次的下载量,看来还是有人尝鲜的。正好手头开发的插件写好了现成的模板代码,索性把这个导航插件也更新下好了!...又比如,另一个百度收录查询与显示插件,我分享的代码版就只能单纯的显示是否收录,而插件版却能设置只对管理员开发,已经自动加载到文章的尾部!...说了这么多,除了凑字数意外,也就是想说我更新中国博客联盟的时候,是抱着让插件更有存在价值的想法去设计的,虽然最终推出的并不一定完美,但是却比代码版丰富了不少,且随我往下看!...③、新增自动加载导航功能 这个功能主要是考虑到某些博客朋友不知道短代码为何物,或者不清楚如何在页面中插入短代码的情况,当选择自动加载模式时,插件设置界面将列出该博客的所有单页面和对应的 ID,博主只要将页面的...手动上传 插件主页:http://wordpress.org/plugins/zgboke-nav/ 下载地址:https://downloads.wordpress.org/plugin/zgboke-nav.zip
从页面上来看网站使用的 CMS 是 Wordpress,这个时候我在页面上找到了第一个 Flag: Flag 1:Your usual wordlists probably won’t work, so...翻译过来的意思是:我们不能以 Wordpress 作为捷径,你需要找到另一种方法! Flag3 我这人偏偏不信邪!我在后台尝试看看能不能获取到一枚 webshell,但是,但是我失败了!...登陆之后我发现我执行不了一些命令: ? 这个时候因为我们的shell是rbash,所以 shell 被限制了!随后我看了看当前的环境变量: ?...由于我们的 shell 被限制了,所以导致我们不能执行一些命令! 我先是 vi 来转义一下受限制的 shell: vi :set shell=/bin/bash :shell ? ?...翻译过来的意思就是:可怜的老汤姆总是在追求杰瑞。也许他应该为他所造成的压力而道歉。 Flag4 随后我切换用户到 jerry: su jerry ?
攻击第二步:从合法网站到蜜罐网络 攻击者在搭建蜜罐网络时需要三个重要组件,第一个就是僵尸网络,第二个是WordPress API中的漏洞,这些漏洞会将WordPress站点暴露在安全风险之中。...通过利用API中的漏洞,攻击者将能够修改目标WordPress站点的相关内容。下面给出的是攻击样例: ?...攻击第三步:“你”的所有信息都归“我” 用户此时已经在访问攻击者的网站了,用户所看到的一切都是攻击者想让他看到的,而用户此时已经在自己的浏览器中运行了攻击者的恶意JavaScript代码。...第一个分支,目标用户通过隐藏链接被重定向至攻击者站点,但本文打算忽略这个分支并直接介绍另一个更流行的分支:攻击者被“邀请”访问一个伪造的电影网站页面,一般页面中显示的都是这样的电影大片: ?...攻击第四步:拿钱来 如果攻击者尝试注册免费账号,他们将会被重定向到一些广告网站,有的则会被定向到一些带有PayPal支付选项的站点(Google搜索引擎已标记为诈骗站点,但已有很多用户已付费),某些用户会被定向到一个名叫
当你复制粘贴内容到一个可视化编辑器(像WordPress的虚拟视图)中是,它加入了很多无用的span和行内样式。这样会让你的网站可读性变的很差。...把阻塞渲染的JavaScript移动到footer中。只有一开始就影响页面设计的脚本才应该放到header中(e.g. 定制字体)。 避免登录页重定向。...重定向会触发一个额外的HTTP请求以致于延迟页面渲染。 通过给不经常更新的页面设定有效期限来减少浏览器缓存。浏览器缓存会告知浏览器去加载本地磁盘之前下载好的页面,取代通过网络加载。...使用404页面来引导他们回到主页或者帮助他们找到他们搜索的地方。 除了主页之外,about页面大概是网站中被访问最多的页面了。所以确保它展示了你和你公司良好的形象。...设置Twitter Cards,使网站的URL被分享的时候,可以让丰富的图片和视频绑定到你的微博上。 设置Google+ Snippets来定制你网站分享到Google+上的样式。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
