linux 系统命令被后门修改_某Nginx后门分析复现与改写

最新推荐文章于 2024-08-03 11:39:59 发布
最新推荐文章于 2024-08-03 11:39:59 发布
阅读量192 收藏
点赞数
文章标签: linux 系统命令被后门修改

本文为看雪论坛精华文章

看雪论坛作者ID:Risks

背景

前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布。
在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。

样本信息

MD5: ab498686505dfc645e14c6edad280da7
VT中可直接下来,前几日还是0查杀,当时只有tencent可以查杀,(当时写文章的时候),目前已被12家厂商查杀。

样本分析

在已有的分析情报的帮助下,得知nginx后门位于ngx_http_header_filter,IDA装载样本,发现样本带有符号信息。

3e968bb2a09b36bb0f7e68ee9ceeed61.png


找到ngx_http_header_filter函数,找到了关键字符串lkfakjf。

4f2ab882ab8e558cc1c28ea3ec4f272b.png


F5之后,发现之后调用了一个connect_shell的函数。

bc69f253a0d625ea73fec1db8fc3f19c.png


通过对connect_shell进行分析发现,是一个反弹shell的功能,利用socket编程完成shell反弹。

5f445f44d67e58dead6bd479315c97c7.png

后门复现

首先启动后门nginx文件,由于nginx会绑定80端口,如果多次启动会提示80端口被占用而无法启动。

a5f874996b9c0f968feda0e9ab1c835f.png


接着进行本地监听9999

a8fd52c84725ba618480b9dcfe4f6ff2.png


使用curl来触发漏洞。

3634940b84143d7adcdeafb12b8a74df.png


此时nc里已经得到了shell

35ef750370712b452fcdd76045ea5fa0.png

b95483803f1034c0ddffc5eee2391d7e.png

原理分析

通过gdb调试和IDA分析发现,要判断cookies中是否存在特征字符串lkfakjf,用到了一个这样的结构体ngx_http_request_t。
使用source insight打开nginx源码,定位到ngx_http_header_filter,发现参数就是ngx_http_request_t,查看该结构体的情况。

2d9267869180ceb47a133c79135dd339.png


该结构体相对比较大,这里截图只留下要使用的部分header_in;

e143b726dfb845500af30ea48c3391dd.png


通过header_in的结构继续寻找,找到cookies的定义。

036ed32162dba13aa739c911d0c42210.png


最后找到关于cookies的结构体情况。

78403f54180254ddaa0ff12f86faec56.png


结合IDA中代码分析,v4就是cookies结构体,通过结构体偏移+32字节定位到输入的特征字符串,在这里我也没有分析的特别清楚,初步判断应该是ngx_pool_t结构体。

789608d8606d7b5f5e41fa35e38e6a77.png

改写后门

首先,我们要先获取cookies的结构,通过r->headers_in.cookies.elts即可获得。
然后取到void elts的内容,最后通过32字节偏移得到存储输入特征码的地址,取其值即可拿到输入的特征字符串的值,最后的代码形式如下图。

f0f27c31899a9d0fd3affb939fb2bfdb.png

对这代码做个解释,首先v1和v2是long 的指针。
第一句代码(long )r->headers_in.cookies.elts;将void 的elts指针转化为long 的指针。第二句代码v2=(long )v1;v1是取其值,在将其值转化为long的指针。第三句代码cookie =(char )(v2+4);v2+4是表示在v2的基础上,偏移4个long个字节,如果你的v2定义为char 这里就是v2+32;(v2+4)取该偏移的内容,最后转化为char *的指针。
以上代码只适用于64位linux,以上代码只适用于64位linux,以上代码只适用于64位linux,重要的事情说三遍。
使用nginx的configure配置,只需要配置--prefix=/root/nginx即可,当configure运行完成后会生成Makefile文件。配置过程中,可能缺少很多的依赖,逐个安装即可。

4bd343b33236202d339ca0d50f79fc8a.png


然后修改位于objs里的Makefile文件,修改为如下配置,否则编译会报错。

91c88b2c6395f38cef905677017226a1.png


此时使用make编译,等待编译完成。
make install安装一下,安装的位置为之前配置的prefix路径。

f077e7ca38b7ea3665bd392de546a9ec.png


运行和调试nginx文件,能够成功获取输入的特征字符串。

1a5f05f21af8f758530534f236a5873a.png


其中rsi为触发漏洞的输入,rdi为内置特征字符串,这里选择了printf打印,能够成功获取到输入的特征字符串。

b80d1847abc4944e6d05bf1f5898bdf8.png


接下来准备复现反弹shell,添加功能代码,代码只能适用于带有nc命令的系统,编译后进行复现操作。

0ca28bdd4c45dc9455e2822d6f30a289.png


现在的特征字符串被修改为123456,现在来触发该后门。

3b671325dd88433314ca9330911bb9d0.png


成功接收到反弹的shell

ed1f995eb6cd20816d65883ab71cd7a3.png


自此后门重现成功,整个分析和复现过程到此结束。

后门排查

目前后门排查只能针对特定的版本,如果出现新nginx后门,排查手段大概率会失效。
1.本地验证 通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串
$ which nginx |xargs grep "/bin/sh" –la
2.将nginx文件提取出来,使用IDA分析查找ngx_http_header_filter,下载nginx源码和IDA F5做对比判断是否存在后门。
最好的效果是下载nginx对应的源码对比是否有增加或改动的地方,但是这份方法比较耗时耗力,但是效果比较好。

weixin_39958138
关注
Nginx代理时header头中带”_”信息丢失问题的解决
01-10
前言 开发网关项目时,在请求时往请求头header中放入了签名sign_key信息,在接收请求时再从header中拿出,在本地调试时是可以的,但上线之后通过Nginx代理之后发现拿不到。 location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; add_header Pro
Nginx性能优化
weixin_33704591的博客
03-29 411
目录:1、Nginx运行工作进程数量Nginx运行工作进程个数一般设置CPU的核心或者核心数x2。如果不了解cpu的核数,可以top命令之后按1看出来,也可以查看/proc/cpuinfo文件 grep ^processor /proc/cpuinfo | wc -l [root@lx~]# vi/usr/local/nginx1.10/conf/nginx.confwork...
Nginx后门集合
2301_80127209的博客
07-22 1166
保姆级学习当前已知的Nginx后门
nginx header参数丢失_Nginx深入优化
weixin_39767887的博客
11-24 507
Nginx深入优化 Nginx (engine x) 是一个高性能的HTTP和反向代理服务器, 轻量级、高并发的web服务器。在实际的生产环境中,我们仍然不可能直接使用默认配置的Nginx来充当服务器。毕竟,为了更充分合理地利用Nginx服务器,我们都应该根 据自己的实际需要对nginx的默认配置作出一些必要的调整。优化:隐藏版本号 、修改用户与组 、 网页缓存时间、 日志切割 、 连接超时 、更...
nginx的代理head参数丢失问题
m0_51527921的博客
11-28 3216
http请求中除了一些公共header,我们还可以定义一些其他header:如token、移动端的唯一设备id、一些自己业务的基础属性如用户id、城市id等等。客户端通过head传递有下划线的参数,使用nginx做代理转发,nginx服务器默认会对http请求中带下划线的header做过滤丢失不会透传。1.个人比较推荐这种方式。常见的header变量都是遵循这种方式,例如:Content-Type,Content-Length,Accept-Ranges等。2.在nginx里的nginx.conf配置文件中
nginx header参数丢失_Nginx-性能优化
weixin_39877805的博客
11-27 120
前言 这篇关于 Nginx 的性能优化,是我查阅资料研究所成,并没有用于实际生产环境,如若你想用于实践,请谨慎测试之后使用。 Nginx 性能优化,主要是减少磁盘 io。 请求头、请求体、响应体都在缓冲区操作。 文件信息的读取 减少网络 io。 gzip 压缩。前端资源也可以提前进行 gzip 压缩,这样请求的时候就不用再压缩了,减少对 cpu 的损耗。 强缓存。减少对后端的静态资源的请求。 ...
Linux系统怎么分析Nginx日志
07-25
也许在目前许多学者都不知道如何分析Nginx日志,Linux系统日志下的Nginx 日志可以查看系统运行记录和出错说明,对Nginx 日志的分析可以了解系统运行的状态。那么Linux系统Nginx日志怎么分析呢?下面小编为你详解一下...
Linux系统安装Nginx的安装教程描述,命令
10-14
Linux系统安装Nginx的安装教程描述,命令 Linux系统安装Nginx是Web服务器实现高性能、可靠性的重要步骤。Nginx是一款轻量级的Web服务器、反向代理服务器和邮件代理服务器,广泛应用于企业级Web应用程序中。本文将...
详解linuxnginx启动 重启 关闭命令
01-20
nginx -c /usr/local/nginx/conf/nginx.conf -c参数指定了要加载的nginx配置文件路径 停止操作 停止操作是通过向nginx进程发送信号来进行的 步骤1:查询nginx主进程号 ps -ef | grep nginx 在进程列表里 面找...
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
Nginx常用命令(Linux)
最新发布
hanzhuhuaa的博客
08-03 739
nginx 常用命令。
nginx header参数丢失_Nginx配置文件 nginx.conf详解
weixin_39621075的博客
11-30 477
Nginx配置文件nginx.conf详解nginx.conf# 定义Nginx运行的用户和用户组 # user nobady nobady; # nginx进程数,建议设置为等于CPU总核心数,默认为1。 worker_processes 8; #全局错误日志定义类型,[ debug | info | notice | warn | error | crit ] error_log /usr/l...
Nginx代理导致请求头某些内容丢失
qq_40015409的博客
06-11 3104
Nginx代理导致请求头某些内容丢失
nginx丢失header信息
liuzhiminxx的博客
09-06 769
nginx.conf的http中增加underscores_in_headers on;后来发现调用本地执行是好的,但是调用测试环境后后两个接口拿不到登录接口的token。我在使用jmeter对几个接口进行压测,需要顺序执行几个接口。一开始我以为是我的请求顺序没有固定好 加了临界控制器。那就找区别呗,最后确定是nginx的问题。下面贴出我的nginx.conf配置文件。nginx默认会将请求头中的下划线去除。下划线就不会被去掉了接口可以正常访问了。那么修改方案呼之欲出。
nginx-ingress 丢失 header 问题-NGINX反向代理,header丢失的问题
jialiu111111的博客
07-11 1777
申请的申请头参数有下划线,而Nginx代理默认会把header中参数有“_”下划线的参数去掉;重启Nginx即可。在下面的这个问题中,就是因为Cookies的参数里有两个参数是带有下划线的,因而每次申请Nginx都会把这两个参数当作有效参数去掉,导致每次申请都须要认证,因而就会报下面的谬误第一条。默认情况下,并不是所有headers的fields它都会转发,fields里带有下划线(_)的,Nginx视为不合法,自动抛弃不发了。例如:AUTHORIZATION_TOKEN。ingress 配置。
nginx header参数丢失_nginx常见模块headers-more,set-misc
weixin_39627405的博客
11-20 1163
nginx–常见模块,headers-more-nginx and set-misc-nginxnginx module : headers-more-nginxinstall and overviewngx_http_headers_module是在Nginx编译时默认自带的模块,主要包含add_header和expires两个指令。之前有专门的文档介绍过该模板的配置与使用;文章链接: ht...
nginx header参数丢失_Nginx 监控
weixin_39822423的博客
12-03 373
1、nginx的基础监控进程监控端口监控注意: 这两个是必须要加在zabbix监控,加触发器有问题及时告警。web 服务器 nginx 以其高性能与抗并发能力越来越多的被用户使用作为一款服务器产品,其运行状态是运维密切关注的,因此,对 nginx 的实时监控就必须要关注的了nginx 提供了 ngx_http_stub_status_module,ngx_http_reqstat_module模块...
Nginx与安全有关的几个配置
python爬虫人工智能大数据
09-24 138
安全无小事,安全防范从nginx配置做起上一篇文章《Nginx的几个常用配置和技巧》收到了不错的反馈,这里再总结下nginx配置中与安全有关的一些配置隐藏版本号http...
nginx转发请求header中的参数丢失问题
fang0604631023的博客
06-07 1614
nginx转发请求header中的参数丢失问题
LinuxNginx 笔试精华:涵盖系统、目录结构、命令及用户管理
本资源是一份全面的LinuxNginx笔试题大全,涵盖了Linux系统基础知识、JavaWEB中的Linux应用、目录结构管理、常用命令、vi/vim编辑器操作、用户与组管理、文件权限以及文件类型标识等多个核心知识点。以下是部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值