安全矩阵

 找回密码
 立即注册
搜索
查看: 441|回复: 0

nginx!更优雅的nignx内存马后门

[复制链接]

57

主题

57

帖子

181

积分

注册会员

Rank: 2

积分
181
发表于 2024-6-22 16:55:22 | 显示全部楼层 |阅读模式

项目简介

@veo师傅研究的一个全链路内存马系列(ebpf内核马、nginx内存马、WebSocket内存马)。本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论。

技术原理

[color=rgba(0, 0, 0, 0.9)]nginx内存马:nginx module 支持动态加载so,通过 __attribute ((constructor))的方式绕过nginx module version check,可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数,通过body_filter可以返回命令执行后的结果

技术特点


无需临时编译(传统的 nignx so backdoor 需要临时编译)兼容支持大部分 nignx 版本无需额外组件支持

技术缺点


有so文件落地需要 nignx -s reload 权限

使用方式

[color=rgba(0, 0, 0, 0.9)]下载测试程序 releases,将下载的so放至目标服务器上,修改 nginx.conf 配置文件在第一行添加以下内容,path为路径,ngx_http_cre_module.so名称最好不修改。

load_module path/ngx_http_cre_module.so然后重载nginx

nignx -s reload
[color=rgba(0, 0, 0, 0.9)]POST HTTP header vtoken: whoami (测试程序只允许使用 whoami 命令)

研究中遇到的问题

1. 绕过nginx对于module的版本检测

通过 __attribute ((constructor))的方式绕过2. 编写的module要兼容大部分版本

使用较早版本的函数,不使用高版本新增函数

防御加固方案


监测Nginx Module的加载,Nginx进程的行为查杀落地文件收敛 nignx -s reload 权限

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 18:43 , Processed in 0.012564 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表