更优雅的nignx内存马后门

项目简介@veo师傅研究的一个全链路内存马系列（ebpf内核马、nginx内存马、WebSocket内存马）。本项目不含有完整的利用工具，仅提供无害化测试程序、防御加固方案，以及研究思路讨论。

技术原理

nginx内存马：nginx module 支持动态加载so，通过 __attribute ((constructor))的方式绕过nginx module version check，可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数，通过body_filter可以返回命令执行后的结果

技术特点

无需临时编译（传统的 nignx so backdoor 需要临时编译）兼容支持大部分 nignx 版本无需额外组件支持

技术缺点

有so文件落地需要 nignx -s reload 权限

使用方式

下载测试程序 releases，将下载的so放至目标服务器上，修改 nginx.conf 配置文件在第一行添加以下内容，path为路径，ngx_http_cre_module.so名称最好不修改。

load_module path/ngx_http_cre_module.so

然后重载nginx

nignx -s reload

POST HTTP header vtoken: whoami （测试程序只允许使用 whoami 命令）

研究中遇到的问题

1. 绕过nginx对于module的版本检测

通过 __attribute ((constructor))的方式绕过

2. 编写的module要兼容大部分版本

使用较早版本的函数，不使用高版本新增函数

防御加固方案

监测Nginx Module的加载，Nginx进程的行为查杀落地文件收敛 nignx -s reload 权限

项目地址

https://github.com/veo/nginx_shell

文章来源：昊天信安

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END