aaPanel.com(✓)
js文件路径:
/panel/BTPanel/static/laydate/laydate.js
根据文件时间戳,可知是10月9日更新的。
这个文件本身是layer的日期显示组件,
但是某塔在最后加入了一段eval加密的js。
这种js很好解密,以下是解密后的js:
(完整代码粘贴不出来,会被论坛拦截,只能截图部分。)
可以看出是创建了个WebRTC连接,
最终是拿到了用户自己的IP和端口(id和pid变量)
并组合后进行了简单加密,赋值给cid,
POST到接口/plugin?action=get_soft_list_thread
那么get_soft_list_thread是在干什么呢,
到py代码,是异步调用/script/flush_soft.py,
然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)
下面反编译看看这个方法是具体干什么的
某塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。
原文始发于微信公众号(苏雅图的雨):某塔最新版新增上报后门
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论