首页
社区
课程
招聘
[原创]某Nginx后门分析复现与改写
发表于: 2020-7-27 10:51 6044

[原创]某Nginx后门分析复现与改写

2020-7-27 10:51
6044

前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布。
在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。

MD5: ab498686505dfc645e14c6edad280da7
VT中可直接下来,前几日还是0查杀,当时只有tencent可以查杀,(当时写文章的时候),目前已被12家厂商查杀。

在已有的分析情报的帮助下,得知nginx后门位于ngx_http_header_filter,IDA装载样本,发现样本带有符号信息。
图片描述
找到ngx_http_header_filter函数,找到了关键字符串lkfakjf。
图片描述
F5之后,发现之后调用了一个connect_shell的函数。
图片描述
通过对connect_shell进行分析发现,是一个反弹shell的功能,利用socket编程完成shell反弹。
图片描述

首先启动后门nginx文件,由于nginx会绑定80端口,如果多次启动会提示80端口被占用而无法启动。
图片描述
接着进行本地监听9999
图片描述
使用curl来触发漏洞。
图片描述
此时nc里已经得到了shell
图片描述
图片描述


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (5)
雪    币: 2249
活跃值: (3778)
能力值: ( LV6,RANK:81 )
在线值:
发帖
回帖
粉丝
2
我以为是官方版本的后门,原来是下了别人编译过的
2020-7-27 16:29
0
雪    币: 5430
活跃值: (3848)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
3
源码是官方提供的,不过是分析了被植入的后门,重新复写了下逻辑。
最后于 2020-7-28 09:22 被Risks编辑 ,原因:
2020-7-28 09:20
0
雪    币: 486
活跃值: (583)
能力值: ( LV12,RANK:238 )
在线值:
发帖
回帖
粉丝
4
厉害。
2020-7-28 09:49
0
雪    币: 1440
活跃值: (1350)
能力值: ( LV3,RANK:23 )
在线值:
发帖
回帖
粉丝
5

那问题来了,为什么不去官网下载或者apt-get、yum、brew安装呢  [/捂脸逃]

最后于 2020-7-28 10:09 被Black貓①呺编辑 ,原因:
2020-7-28 10:07
0
雪    币: 4402
活跃值: (1366)
能力值: ( LV7,RANK:113 )
在线值:
发帖
回帖
粉丝
6
两年前分析过这个后门,https://cssxn.github.io/posts/nginx-backdoor-analysis/
2020-8-6 18:06
0
游客
登录 | 注册 方可回帖
返回
//