V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  KasuganoSoras  ›  全部回复第 4 页 / 共 83 页
回复总数  1651
1  2  3  4  5  6  7  8  9  10 ... 83  
2021-02-17 11:08:53 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
看到你今天更新了,顺带回一下
https://github.com/yitd/Any-Proxy/blob/main/index.php#L53
虽然你做了对内网的判断,判断 host 是否是内网地址,但是,你没有对 host 进行解析操作,也就是说,如果我随便找个域名解析到 192.168.1.1 这样的地址去,还是可以继续扫内网。

另外
https://github.com/yitd/Any-Proxy/blob/main/index.php#L3
不应该去判断是否有 X-Forward-For Header,因为可以随意伪造,只要我每次伪造随机的 Header,就可以无限刷,无视掉你这一部分的判断,并且因为你这一部分还会把请求的 IP 写入 Redis,所以我甚至还可以通过给 Header 塞超长的数据 + 大量请求塞爆 Redis,让主机内存爆满。

继续改进吧
2021-02-16 05:57:09 +08:00
回复了 yitalin 创建的主题 PHP PHP 反向代理访问任意网站源码来了_Any-Proxy
楼主,想的还是太简单了,你考虑过一个问题么
如果我访问 https://turl.chat/https://turl.chat/ 会发生什么?
如果我访问 https://turl.chat/https://turl.chat/https://turl.chat/https://turl.chat/ 又会发生什么?如果我频繁请求会发生什么?
https://i.imgur.com/yvzJEF1.png
所以你这只能算个玩具,连基本的请求控制都没有
你的代码非常多地方都不严谨,变量类型没有任何判断,肉眼能看到的问题就好几处。
还有,如果这玩意搭在能访问内网的机器上,我是不是还能通过 https://turl.chat/http://192.168.1.1/ 这样的方式去扫你的内网?如果内网机器有弱密码情况,分分钟整台服务器就给拿下了,真不是开玩笑
所以 LZ 还是虚心一点吧,不要刚学会点入门级 PHP 就这么飘了,戾气别这么重,多学点不是什么坏事
可以试下 Header("Location: http://www.example.com/XXXX", true, 302) 强制指定 302 状态码,并且覆盖之前的所有 Location 字段
2021-01-15 23:51:41 +08:00
回复了 tomoya92 创建的主题 问与答 碰到有人克隆自己博客该怎么办?
好菜啊.jpg
才 800QPS 就挂了,反代石锤
2021-01-15 23:43:33 +08:00
回复了 tomoya92 创建的主题 问与答 碰到有人克隆自己博客该怎么办?
看了下似乎是反代,按 F12 看请求 Header 里的 server 字段是 Github.com ,建议可以试下在 js 里面加一些判断,检测到不是自己的域名就跳转到正确网址之类的。
2020-12-25 17:04:30 +08:00
回复了 TONYHEAD 创建的主题 分享发现 阿里图床失效通知
@KasuganoSoras #14 需要安装 nmap-ncat
@naoh1000 #11
Server 1 (要监控的机器)
#!/bin/sh
while true
do
cat ~/.bash_history | nc -v 机器 2 的 IP 端口号
sleep 5
done

Server 2 (要记录数据的机器)
#!/bin/sh
while true
do
nc -v -lp 端口号 > bash_history.txt
done
5 楼正解,不过我试过好像会导致 sftp 无法正常登录
2020-11-03 14:39:38 +08:00
回复了 KasuganoSoras 创建的主题 程序员 宝塔运维工程师直播中疑似翻车
@imdong #1 两分钟前直播间还在的,我发完帖子再看直播间就没了
2020-10-27 00:45:14 +08:00
回复了 ZeroSimple 创建的主题 程序员 没什么人看的博客,恶意请求比正常请求多几百倍
@ZeroSimple #3 扫爆的人又不管你机器上装没装这个服务……只要有端口开着它就去扫,换各种协议去爆破
还有就是楼上说的,无效请求多了直接封号,还是不要投机取巧了罢,我网站也一天到晚有这些流量,不去管它就行了,反正又不会影响你网站正常运作,基本的安全防护做好就行了,密码设置复杂点,相关软件定期更新
2020-10-27 00:26:40 +08:00
回复了 ZeroSimple 创建的主题 程序员 没什么人看的博客,恶意请求比正常请求多几百倍
看你这是被扫 RDP 了吧,把网站端口当成了远程桌面端口,这种没法跳转的
如果是正常的 http 流量的话可以 Nginx 写规则 301 跳转到你的推广链接去
if (!-e $request_filename) {
return 301 http://你的推广链接 /;
}
2020-10-27 00:23:27 +08:00
回复了 SaigyoujiYuyuko 创建的主题 宽带症候群 深圳电信公网 ip 变了?
活捉幽幽子
2020-10-26 22:15:34 +08:00
回复了 jamfer 创建的主题 推广 回馈 V2,送一把樱桃红轴的 71 键双模机械键盘
2020-10-13 23:00:50 +08:00
回复了 archoot 创建的主题 问与答 DOS 联网后通过访问微软服务器升级至 Windows10?
不懂就问,现在哪还能找到 486 CPU 的电脑
安利一下我的项目: https://github.com/kasuganosoras/Pigeon
不光可以存代码片段,还可以当微博用 https://i.v2ex.co/504J5BO2.png
2020-10-13 22:44:04 +08:00
回复了 Yunsheng 创建的主题 推广 接乡党的棒,我也来送猕猴桃🥝啦!
分母+1,试试运气
2020-10-12 04:14:23 +08:00
回复了 XingWu 创建的主题 JavaScript 不懂就问: png 格式图片转成 jpeg,到底算什么类型的图片
男的穿上了女装就变成女人了? https://i.v2ex.co/504J5BO2.png
虽然你看起来他是个女人,但是实际上他还是男的(
2020-10-11 01:12:57 +08:00
回复了 vcw 创建的主题 分享创造 一种让女朋友不再粘人的方案(测试版)
然后,女朋友就粘其他人去了
1  2  3  4  5  6  7  8  9  10 ... 83  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5542 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 43ms · UTC 06:53 · PVG 14:53 · LAX 22:53 · JFK 01:53
Developed with CodeLauncher
♥ Do have faith in what you're doing.