|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
项目简介
技术原理
nginx内存马:nginx module 支持动态加载so,通过 __attribute ((constructor))的方式绕过nginx module version check,可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数,通过body_filter可以返回命令执行后的结果
技术特点
无需临时编译(传统的 nignx so backdoor 需要临时编译)兼容支持大部分 nignx 版本无需额外组件支持
技术缺点
有so文件落地需要 nignx -s reload 权限
使用方式
下载测试程序 releases,将下载的so放至目标服务器上,修改 nginx.conf 配置文件在第一行添加以下内容,path为路径,ngx_http_cre_module.so名称最好不修改。
load_module path/ngx_http_cre_module.sonignx -s reloadPOST HTTP header vtoken: whoami (测试程序只允许使用 whoami 命令)
研究中遇到的问题
通过 __attribute ((constructor))的方式绕过使用较早版本的函数,不使用高版本新增函数防御加固方案
监测Nginx Module的加载,Nginx进程的行为查杀落地文件收敛 nignx -s reload 权限
下载地址
原文始发于微信公众号(潇湘信安):nginx!更优雅的nignx内存马后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论