更优雅的nignx内存马后门

文章预览

项目简介 @veo 师傅研究的一个全链路内存马系列（ebpf内核马、nginx内存马、WebSocket内存马）。 本项目不含有完整的利用工具，仅提供无害化测试程序、防御加固方案，以及研究思路讨论。 技术原理 nginx内存马： nginx module 支持动态加载so，通过 __attribute ((constructor))的方式绕过nginx module version check，可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数，通过body_filter可以返回命令执行后的结果 技术特点 无需临时编译（传统的 nignx so backdoor 需要临时编译） 兼容支持大部分 nignx 版本 无需额外组件支持 技术缺点 有so文件落地 需要 nignx -s reload 权限 使用方式 下载测试程序  releases ， 将下载的so放至目标服务器上，修改 nginx.conf 配置文件在第一行添加以下内容，path为路径，ngx_http_cre_module.so名称最好不修改。 load_module path/ngx_http_cre ………………………………