文章预览
项目简介 @veo 师傅研究的一个全链路内存马系列(ebpf内核马、nginx内存马、WebSocket内存马)。 本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论。 技术原理 nginx内存马: nginx module 支持动态加载so,通过 __attribute ((constructor))的方式绕过nginx module version check,可以编译出适应所有nginx版本的module。使用header_filter可以取得命令执行的参数,通过body_filter可以返回命令执行后的结果 技术特点 无需临时编译(传统的 nignx so backdoor 需要临时编译) 兼容支持大部分 nignx 版本 无需额外组件支持 技术缺点 有so文件落地 需要 nignx -s reload 权限 使用方式 下载测试程序 releases , 将下载的so放至目标服务器上,修改 nginx.conf 配置文件在第一行添加以下内容,path为路径,ngx_http_cre_module.so名称最好不修改。 load_module path/ngx_http_cre
………………………………