nginx!更优雅的nignx内存马后门
2023-12-27 08:31:20 Author: 潇湘信安(查看原文) 阅读量:54 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了

项目简介

@veo师傅研究的一个全链路内存马系列(ebpf内核马、nginx内存马、WebSocket内存马)。
本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论。

技术原理

nginx内存马:nginx module 支持动态加载so,通过 __attribute ((constructor))的方式绕过nginx module version check,可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数,通过body_filter可以返回命令执行后的结果

技术特点

无需临时编译(传统的 nignx so backdoor 需要临时编译)兼容支持大部分 nignx 版本无需额外组件支持

技术缺点

有so文件落地需要 nignx -s reload 权限

使用方式

下载测试程序 releases将下载的so放至目标服务器上,修改 nginx.conf 配置文件在第一行添加以下内容,path为路径,ngx_http_cre_module.so名称最好不修改。

load_module path/ngx_http_cre_module.so
然后重载nginx
nignx -s reload

POST HTTP header vtoken: whoami (测试程序只允许使用 whoami 命令)

研究中遇到的问题

1. 绕过nginx对于module的版本检测
通过 __attribute ((constructor))的方式绕过
2. 编写的module要兼容大部分版本
使用较早版本的函数,不使用高版本新增函数

防御加固方案

监测Nginx Module的加载,Nginx进程的行为查杀落地文件收敛 nignx -s reload 权限

下载地址

点击下方名片进入公众号

回复关键字【231126】获取下载链接


信 安 考 证

需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...


推 荐 阅 读



文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247508030&idx=2&sn=90ef5e0e8cfbb93b89605bee06580f53&chksm=ce642abbae7562d87f0e5646da16fb91c5e355f3d73ebc50aea4e10a54c651fcd3ccd793d844&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh