nginx header参数丢失_某Nginx后门分析与重现

最新推荐文章于 2023-07-11 17:32:46 发布
最新推荐文章于 2023-07-11 17:32:46 发布
阅读量136 收藏
点赞数
文章标签: nginx header参数丢失
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39716160/article/details/111281668
版权
本文详述了一个Nginx后门的分析过程,包括后门如何通过Cookie中的特征字符串lkfakjf反弹shell。通过IDA和gdb调试,解析ngx_http_header_filter函数,揭示了后门如何利用nginx的header参数。此外,文章还提供了后门的复现步骤,从配置编译到触发shell反弹,最后讨论了后门的排查方法。
摘要由CSDN通过智能技术生成

安全分析与研究

专注于全球恶意软件的分析与研究

背景

前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布,仅供学习研究之用。

在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。

样本分析

1.在已有的分析情报的帮助下,得知nginx后门位于ngx_http_header_filter,IDA装载样本,发现样本带有符号信息,如下所示:

4ef90ac57f47a6b4a2491bddf3bf9b9f.png

2.找到ngx_http_header_filter函数,找到了关键字符串lkfakjf,如下所示:

d89c0650b07caecd484b7a1a509aea15.png

3.F5之后,发现之后调用了一个connect_shell的函数,如下所示:

897908c2c9ae6375370f8af49f5c3b27.png

4.通过对connect_shell进行分析发现,是一个反弹shell的功能,利用socket编程完成shell反弹,如下所示:

b39e82846650ee862c4dc9db5fd4e415.png

后门复现

1.首先启动后门nginx文件,由于nginx会绑定80端口,如果多次启动会提示80端口被占用而无法启动,如下所示:

ef5e6a18d8f5bca966c3fa80b860e0b6.png

2.接着进行本地监听9999,如下所示:

c0201ba5bb95d0633138b948fd194d1b.png

3.使用curl来触发漏洞,如下所示:

924b161e973263336f715c5cf60297b4.png

4.此时nc里已经得到了shell,如下所示:

d11e5524ed2424e12fab322183479488.png 5624caacf67e0d95b23d79ebf2a55904.png

原理分析

1.通过gdb调试和IDA分析发现,要判断cookies中是否存在特征字符串lkfakjf,用到了一个这样的结构体ngx_http_request_t,使用source insight打开nginx源码,定位到ngx_http_header_filter,发现参数就是ngx_http_request_t,查看该结构体的情况,如下所示:

2e6ce49f952ff8ac848210986d3ac4ee.png

2.该结构体相对比较大,这里截图只留下要使用的部分header_in,如下所示:

7dcea569b8bc7746e5664357d3242ce6.png

3.通过header_in的结构继续寻找,找到cookies的定义,如下所示:

230d2370d765d4abe260a7a062d6640a.png

4.最后找到关于cookies的结构体情况,如下所示:

baa491a5c9b9ea3428d4618e6112434c.png

5.结合IDA中代码分析,v4就是cookies结构体,通过结构体偏移+32字节定位到输入的特征字符串,在这里我也没有分析的特别清楚,初步判断应该是ngx_pool_t结构体,如下所示:

17be147a5a9f72cfb72e6754f4cafd1c.png

重现后门

1.首先,我们要先获取cookies的结构,通过r->headers_in.cookies.elts即可获得,然后取到void *elts的内容,最后通过32字节偏移得到存储输入特征码的地址,取其值即可拿到输入的特征字符串的值,最后的代码形式,如下所示:

c3c353d9a8ed495faa70362fbc218f57.png

对这代码做个解释,首先v1和v2是long *的指针。

第一句代码(long *)r->headers_in.cookies.elts;将void *的elts指针转化为long *的指针。

第二句代码v2=(long *)*v1;*v1是取其值,在将其值转化为long*的指针。

第三句代码cookie =(char *)*(v2+4);v2+4是表示在v2的基础上,偏移4个long*个字节,如果你的v2定义为char *这里就是v2+32;*(v2+4)取该偏移的内容,最后转化为char *的指针。

以上代码只适用于64位linux,以上代码只适用于64位linux,以上代码只适用于64位linux,重要的事情说三遍。

2.使用nginx的configure配置,只需要配置--prefix=/root/nginx即可,当configure运行完成后会生成Makefile文件。配置过程中,可能缺少很多的依赖,逐个安装即可,如下所示:

1f4313833f0d7ec9312dc9f5ad52ea4b.png

3.然后修改位于objs里的Makefile文件,修改为如下配置,否则编译会报错,如下所示:

6bdd10e9daef56465e9f1b8555f35f90.png

4.此时使用make编译,等待编译完成,如下所示:

4ff4de91e2000ccf1bf8c361d42e8ddb.png

5.make install安装一下,安装的位置为之前配置的prefix路径,如下所示:

5fb4688e63be1a0a1eff3bffe6984a37.png

6.运行和调试nginx文件,能够成功获取输入的特征字符串,如下所示:

5ced773405ef46ade0e9fa1d06b2f186.png

7.其中rsi为触发漏洞的输入,rdi为内置特征字符串,这里选择了printf打印,能够成功获取到输入的特征字符串,如下所示:

26d25c4c8cdf0f55eae5104c1337ec00.png

8.接下来准备复现反弹shell,添加功能代码,代码只能适用于带有nc命令的系统,编译后进行复现操作,如下所示:

bd51f8feb61b57d74d8538d9c5fe9e6b.png

9.现在的特征字符串被修改为123456,现在来触发该后门,如下所示:

1c85fdef6b687e2ce231330cc332eade.png

10.成功接收到反弹的shell,如下所示:

7b6a6056d72ce01d6a739bbee79152f8.png

自此后门重现成功,整个分析和复现过程到此结束。

后门排查

目前后门排查只能针对特定的版本,如果出现新nginx后门,排查手段大概率会失效。

1.本地验证 通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串

$ which nginx |xargs grep "/bin/sh" –la

2.将nginx文件提取出来,使用IDA分析查找ngx_http_header_filter,下载nginx源码和IDA F5做对比判断是否存在后门。

最好的效果是下载nginx对应的源码对比是否有增加或改动的地方,但是这份方法比较耗时耗力,但是效果比较好。

威胁情报

HASH

ab498686505dfc645e14c6edad280da7

这篇文章作者很早之前就发给我了,一直没时间编辑发布,后面作者也发布在了看雪论坛,链接地址:

https://bbs.pediy.com/thread-260954.htm

安全分析与研究专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,不忘初心,专注,专业,坚持,欢迎关注。

weixin_39716160
关注
nginx的client_header_buffer_size、large_client_header_buffers配置解析
zzhongcy的专栏
09-29 6251
Nginx
nginx 获取header 请求参数_Nginx获取自定义头部header的值
weixin_39752800的博客
12-31 4380
1、nginx是支持读取非nginx标准的用户自定义header的,但是需要在http或者server下开启header的下划线支持:underscores_in_headers on;2、比如我们自定义header为X-Real-IP,通过第二个nginx获取该header时需要这样:$http_x_real_ip; (一律采用小写,而且前面多了个http_)3、如果需要把自定义header传递...
Nginx代理时header头中带”_”信息丢失问题的解决
01-10
前言 开发网关项目时,在请求时往请求头header中放入了签名sign_key信息,在接收请求时再从header中拿出,在本地调试时是可以的,但上线之后通过Nginx代理之后发现拿不到。 location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; add_header Pro
linux 系统命令被后门修改_某Nginx后门分析复现与改写
weixin_39958138的博客
11-21 192
本文为看雪论坛精华文章看雪论坛作者ID:Risks背景前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布。在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。样本信息MD5: ab49868...
Nginx性能优化
weixin_33704591的博客
03-29 413
目录:1、Nginx运行工作进程数量Nginx运行工作进程个数一般设置CPU的核心或者核心数x2。如果不了解cpu的核数,可以top命令之后按1看出来,也可以查看/proc/cpuinfo文件 grep ^processor /proc/cpuinfo | wc -l [root@lx~]# vi/usr/local/nginx1.10/conf/nginx.confwork...
nginx header参数丢失_Nginx深入优化
weixin_39767887的博客
11-24 509
Nginx深入优化 Nginx (engine x) 是一个高性能的HTTP和反向代理服务器, 轻量级、高并发的web服务器。在实际的生产环境中,我们仍然不可能直接使用默认配置的Nginx来充当服务器。毕竟,为了更充分合理地利用Nginx服务器,我们都应该根 据自己的实际需要对nginx的默认配置作出一些必要的调整。优化:隐藏版本号 、修改用户与组 、 网页缓存时间、 日志切割 、 连接超时 、更...
nginx的代理head参数丢失问题
m0_51527921的博客
11-28 3219
http请求中除了一些公共header,我们还可以定义一些其他header:如token、移动端的唯一设备id、一些自己业务的基础属性如用户id、城市id等等。客户端通过head传递有下划线的参数,使用nginx做代理转发,nginx服务器默认会对http请求中带下划线的header做过滤丢失不会透传。1.个人比较推荐这种方式。常见的header变量都是遵循这种方式,例如:Content-Type,Content-Length,Accept-Ranges等。2.在nginx里的nginx.conf配置文件中
nginx配置教程之add_header的坑详解
09-29
- 升级到 Nginx 1.7.5 或更高版本,该版本引入了 `always` 参数,即使在错误页面中也会执行 `add_header`,如 `add_header Content-Type application/json always;`。 - 对于旧版本的 Nginx 或基于旧版的分支(如 ...
nginx header参数丢失_Nginx-性能优化
weixin_39877805的博客
11-27 121
前言 这篇关于 Nginx 的性能优化,是我查阅资料研究所成,并没有用于实际生产环境,如若你想用于实践,请谨慎测试之后使用。 Nginx 性能优化,主要是减少磁盘 io。 请求头、请求体、响应体都在缓冲区操作。 文件信息的读取 减少网络 io。 gzip 压缩。前端资源也可以提前进行 gzip 压缩,这样请求的时候就不用再压缩了,减少对 cpu 的损耗。 强缓存。减少对后端的静态资源的请求。 ...
nginx header参数丢失_Nginx配置文件 nginx.conf详解
weixin_39621075的博客
11-30 481
Nginx配置文件nginx.conf详解nginx.conf# 定义Nginx运行的用户和用户组 # user nobady nobady; # nginx进程数,建议设置为等于CPU总核心数,默认为1。 worker_processes 8; #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ] error_log /usr/l...
Nginx代理导致请求头某些内容丢失
qq_40015409的博客
06-11 3115
Nginx代理导致请求头某些内容丢失
nginx丢失header信息
liuzhiminxx的博客
09-06 773
nginx.conf的http中增加underscores_in_headers on;后来发现调用本地执行是好的,但是调用测试环境后后两个接口拿不到登录接口的token。我在使用jmeter对几个接口进行压测,需要顺序执行几个接口。一开始我以为是我的请求顺序没有固定好 加了临界控制器。那就找区别呗,最后确定是nginx的问题。下面贴出我的nginx.conf配置文件。nginx默认会将请求头中的下划线去除。下划线就不会被去掉了接口可以正常访问了。那么修改方案呼之欲出。
nginx-ingress 丢失 header 问题-NGINX反向代理,header丢失的问题
最新发布
jialiu111111的博客
07-11 1797
申请的申请头参数有下划线,而Nginx代理默认会把header参数有“_”下划线的参数去掉;重启Nginx即可。在下面的这个问题中,就是因为Cookies的参数里有两个参数是带有下划线的,因而每次申请Nginx都会把这两个参数当作有效参数去掉,导致每次申请都须要认证,因而就会报下面的谬误第一条。默认情况下,并不是所有headers的fields它都会转发,fields里带有下划线(_)的,Nginx视为不合法,自动抛弃不发了。例如:AUTHORIZATION_TOKEN。ingress 配置。
nginx header参数丢失_nginx常见模块headers-more,set-misc
weixin_39627405的博客
11-20 1170
nginx–常见模块,headers-more-nginx and set-misc-nginxnginx module : headers-more-nginxinstall and overviewngx_http_headers_module是在Nginx编译时默认自带的模块,主要包含add_header和expires两个指令。之前有专门的文档介绍过该模板的配置与使用;文章链接: ht...
nginx header参数丢失_Nginx 监控
weixin_39822423的博客
12-03 378
1、nginx的基础监控进程监控端口监控注意: 这两个是必须要加在zabbix监控,加触发器有问题及时告警。web 服务器 nginx 以其高性能与抗并发能力越来越多的被用户使用作为一款服务器产品,其运行状态是运维密切关注的,因此,对 nginx 的实时监控就必须要关注的了nginx 提供了 ngx_http_stub_status_module,ngx_http_reqstat_module模块...
Nginx与安全有关的几个配置
python爬虫人工智能大数据
09-24 138
安全无小事,安全防范从nginx配置做起上一篇文章《Nginx的几个常用配置和技巧》收到了不错的反馈,这里再总结下nginx配置中与安全有关的一些配置隐藏版本号http...
nginx转发请求header中的参数丢失问题
fang0604631023的博客
06-07 1620
nginx转发请求header中的参数丢失问题
Nginx代理导致header参数丢失和端口丢失
liangpengcheng363的专栏
03-25 1309
今天测试同事在测试接口时遇到了测试环境无法获取到header参数的问题,但是本地可以。同时在使用swagger时,测试环境会导致端口丢失,本地不会。 经过反复查看配置,发现是Nginx引起的。 Nginx做反向代理时默认request的header的那么中包含’_’时,会自动忽略掉。可以在Nginx的配置文件:nginx.conf 的http部分中添加如下配置:underscores_in_headers on; (默认 underscores_in_headers 为off)即可解决header参数
nginx header参数丢失_nginx单节点部署
weixin_39558521的博客
11-25 246
服务安装• 创建nginx用户[root@localhost ~]# useradd -s /sbin/nologin nginx[root@localhost ~]# passwd nginxChanging password for user nginx.New password: #密码也为nginxBAD PASSWORD: it...
nginx 获取body参数_HttpServletRequest 获取参数header、body
05-26
nginx中,可以通过ngx_http_request_t结构体中的request_body成员来获取请求体参数。具体步骤如下: 1. 在nginx配置文件中开启请求体缓存,例如: ``` location /test { client_body_buffer_size 128k; client_max_body_size 10m; proxy_pass http://backend; } ``` 2. 在nginx模块中获取请求体参数,例如: ``` ngx_http_request_t *r; ngx_buf_t *buf; ngx_chain_t *cl; r = ngx_http_get_module_ctx(r, ngx_http_module); if (r->request_body == NULL || r->request_body->bufs == NULL) { // 请求体为空 return NGX_OK; } // 遍历请求体缓存中所有的buf for (cl = r->request_body->bufs; cl; cl = cl->next) { buf = cl->buf; // 处理 buf->pos 到 buf->last 范围内的数据 } ``` 在Java中,可以通过HttpServletRequest对象来获取请求参数header和body。具体步骤如下: 1. 获取请求参数header: ``` HttpServletRequest request = ...; String paramValue = request.getParameter("paramName"); String headerValue = request.getHeader("headerName"); ``` 2. 获取请求体参数: ``` HttpServletRequest request = ...; String body = ""; try { BufferedReader reader = request.getReader(); String line; while ((line = reader.readLine()) != null) { body += line; } } catch (IOException e) { // 处理异常 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值