马上注册,免费下载更多dz插件网资源。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
后门分析
今天对比了一下最新版7.9.4的某塔面板(某塔的开发习惯是即使是同一个版本号,也会不断更新文件)。发现了一个js文件比较可疑,经过分析后得出,是某塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)
js文件路径:/panel/BTPanel/static/laydate/laydate.js
根据文件时间戳,可知是10月9日更新的。
这个文件本身是layer的日期显示组件,
但是某塔在最后加入了一段eval加密的js。
这种js很好解密,以下是解密后的js:
完整代码粘贴不出来,会被论坛拦截,只能截图部分。
可以看出是创建了个WebRTC连接,最终是拿到了用户自己的IP和端口(id和pid变量),并组合后进行了简单加密,赋值给cid,POST到接口/plugin?action=get_soft_list_thread
那么get_soft_list_thread是在干什么呢?
到py代码,是异步调用/script/flush_soft.py,然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)
下面反编译看看这个方法是具体干什么的
某塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。
之前已经有人爆料过某塔的上报接口(site_task.py),为什么10月9日又新增了一个?可能是之前的接口只是上报一些统计的数据,并没有上报用户IP这种敏感信息。另外现在新增的这个更加隐蔽,通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。
作者补充
我刚才还疑惑,明明有上百种方法可以获取到用户IP,为什么非要写那么一大堆js通过WebRTC的方式来获取。原来这种方式可以无视代理,我这边试了即使是开了全局代理,也一样可以获取到真实IP而不是代理服务器IP!
作者:ccclt
技术大佬求科普,我们这些用BT的小站长接下来要怎么办?
©DZ插件网所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
网站部分内容来源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解!
| 
【可可】帮助中心 44.241022(keke_help)1929 人气#Discuz!插件模板
MDZ 编辑器 收费版 V1.15.0(wcn_editor)1281 人气#Discuz!插件模板
与dz-x.net同款首页聊天室最新汉化版本!!1465 人气#Discuz!插件模板
定时批量发帖 PC手机双端版1.8(zgxsh_posti109 人气#Discuz!插件模板![【可可】文档文库 96.240911(keke_doc)[新增隐藏分类设置 重大更新 建议立即更新]](https://static.dz-x.net/block/57/57f31f206de522f914d3eedc66d1025d.jpg)
【可可】文档文库 96.240911(keke_doc)[新3802 人气#Discuz!插件模板
网站密码访问 正式版 20200407_2.3(nciaer_631 人气#Discuz!插件模板
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
