首页
论坛
课程
招聘
[调试逆向] [原创]某Nginx后门分析复现与改写
2020-7-27 10:51 2392

[调试逆向] [原创]某Nginx后门分析复现与改写

2020-7-27 10:51
2392

背景

前几天,接到一个nginx后门样本,本着就分析和复现的思路,完整的将整个过程做一次复现,不料最终还获取到了后门的核心代码部分,遂将其整理发布。
在后续分析之前先来了解下nginx后门的功能。通过在Cookie中包含特征字符串lkfakjfa,并填写需要反弹的ip和端口,完成shell反弹,这就是后门的一个大致情况。

样本信息

MD5: ab498686505dfc645e14c6edad280da7
VT中可直接下来,前几日还是0查杀,当时只有tencent可以查杀,(当时写文章的时候),目前已被12家厂商查杀。

样本分析

在已有的分析情报的帮助下,得知nginx后门位于ngx_http_header_filter,IDA装载样本,发现样本带有符号信息。
图片描述
找到ngx_http_header_filter函数,找到了关键字符串lkfakjf。
图片描述
F5之后,发现之后调用了一个connect_shell的函数。
图片描述
通过对connect_shell进行分析发现,是一个反弹shell的功能,利用socket编程完成shell反弹。
图片描述

后门复现

首先启动后门nginx文件,由于nginx会绑定80端口,如果多次启动会提示80端口被占用而无法启动。
图片描述
接着进行本地监听9999
图片描述
使用curl来触发漏洞。
图片描述
此时nc里已经得到了shell
图片描述
图片描述

原理分析

通过gdb调试和IDA分析发现,要判断cookies中是否存在特征字符串lkfakjf,用到了一个这样的结构体ngx_http_request_t。
使用source insight打开nginx源码,定位到ngx_http_header_filter,发现参数就是ngx_http_request_t,查看该结构体的情况。
图片描述
该结构体相对比较大,这里截图只留下要使用的部分header_in;
图片描述
通过header_in的结构继续寻找,找到cookies的定义。
图片描述
最后找到关于cookies的结构体情况。
图片描述
结合IDA中代码分析,v4就是cookies结构体,通过结构体偏移+32字节定位到输入的特征字符串,在这里我也没有分析的特别清楚,初步判断应该是ngx_pool_t结构体。
图片描述

改写后门

首先,我们要先获取cookies的结构,通过r->headers_in.cookies.elts即可获得。
然后取到void elts的内容,最后通过32字节偏移得到存储输入特征码的地址,取其值即可拿到输入的特征字符串的值,最后的代码形式如下图。
图片描述
对这代码做个解释,首先v1和v2是long
的指针。
第一句代码(long )r->headers_in.cookies.elts;将void 的elts指针转化为long 的指针。
第二句代码v2=(long
)v1;v1是取其值,在将其值转化为long的指针。
第三句代码cookie =(char
)(v2+4);v2+4是表示在v2的基础上,偏移4个long个字节,如果你的v2定义为char 这里就是v2+32;(v2+4)取该偏移的内容,最后转化为char *的指针。
以上代码只适用于64位linux,以上代码只适用于64位linux,以上代码只适用于64位linux,重要的事情说三遍。
使用nginx的configure配置,只需要配置--prefix=/root/nginx即可,当configure运行完成后会生成Makefile文件。配置过程中,可能缺少很多的依赖,逐个安装即可。
图片描述
然后修改位于objs里的Makefile文件,修改为如下配置,否则编译会报错。
图片描述
此时使用make编译,等待编译完成。
make install安装一下,安装的位置为之前配置的prefix路径。
图片描述
运行和调试nginx文件,能够成功获取输入的特征字符串。
图片描述
其中rsi为触发漏洞的输入,rdi为内置特征字符串,这里选择了printf打印,能够成功获取到输入的特征字符串。
图片描述
接下来准备复现反弹shell,添加功能代码,代码只能适用于带有nc命令的系统,编译后进行复现操作。
图片描述
现在的特征字符串被修改为123456,现在来触发该后门。
图片描述
成功接收到反弹的shell
图片描述
自此后门重现成功,整个分析和复现过程到此结束。

后门排查

目前后门排查只能针对特定的版本,如果出现新nginx后门,排查手段大概率会失效。
1.本地验证 通过grep命令判断当前运行对nginx里面是否存在"/bin/sh"可疑字符串
$ which nginx |xargs grep "/bin/sh" –la
2.将nginx文件提取出来,使用IDA分析查找ngx_http_header_filter,下载nginx源码和IDA F5做对比判断是否存在后门。
最好的效果是下载nginx对应的源码对比是否有增加或改动的地方,但是这份方法比较耗时耗力,但是效果比较好。


[看雪官方]《安卓高级研修班》线下班,网课(12月)班开始同步招生!!

收藏
点赞2
打赏
分享
最新回复 (5)
雪    币: 4478
活跃值: 活跃值 (366)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
KingSelyF 活跃值 2020-7-27 16:29
2
0
我以为是官方版本的后门,原来是下了别人编译过的
雪    币: 3992
活跃值: 活跃值 (1465)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
Risks 活跃值 2 2020-7-28 09:20
3
0
源码是官方提供的,不过是分析了被植入的后门,重新复写了下逻辑。
最后于 2020-7-28 09:22 被Risks编辑 ,原因:
雪    币: 189
活跃值: 活跃值 (99)
能力值: ( LV12,RANK:218 )
在线值:
发帖
回帖
粉丝
scpczc 活跃值 1 2020-7-28 09:49
4
0
厉害。
雪    币: 1818
活跃值: 活跃值 (72)
能力值: ( LV3,RANK:23 )
在线值:
发帖
回帖
粉丝
Black貓①呺 活跃值 2020-7-28 10:07
5
0

那问题来了,为什么不去官网下载或者apt-get、yum、brew安装呢  [/捂脸逃]

最后于 2020-7-28 10:09 被Black貓①呺编辑 ,原因:
雪    币: 3613
活跃值: 活跃值 (140)
能力值: ( LV6,RANK:93 )
在线值:
发帖
回帖
粉丝
Adventure 活跃值 2020-8-6 18:06
6
0
两年前分析过这个后门,https://cssxn.github.io/posts/nginx-backdoor-analysis/
游客
登录 | 注册 方可回帖
返回