吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25287|回复: 260
收起左侧

[Web逆向] bt宝塔最新版增加了上报后门!

    [复制链接]
世态炎凉S冷暖自 发表于 2022-10-26 15:34
本帖最后由 世态炎凉S冷暖自 于 2022-10-27 15:10 编辑

今天对比了一下最新版7.9.4的宝塔面板(宝塔的开发习惯是即使是同一个版本号,也会不断更新文件)。


发现了一个js文件比较可疑,经过分析后得出,是宝塔最新增加的上报后门,可以上报用户自己的IP和端口(非服务器的)

js文件路径:/panel/BTPanel/static/laydate/laydate.js

根据文件时间戳,可知是10月9日更新的。

这个文件本身是layer的日期显示组件,但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:

截图部分
3471337c-6e47-47e7-90b6-003297f96389.png

可以看出是创建了个WebRTC连接,最终是拿到了用户自己的IP和端口(id和pid变量),并组合后进行了简单加密,赋值给cid,POST到接口/plugin?action=get_soft_list_thread

那么get_soft_list_thread是在干什么呢,找到py代码,是异步调用/script/flush_soft.py,然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)

下面反编译看看这个方法是具体干什么的
e4e0e862-0c9f-479f-abcd-f39bff1c7b18.png


宝塔搞了个很有迷惑性的方法名,初看还以为是获取软件列表的,实际根本不是。


方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list,并未对返回值进行处理,可确定不是获取软件列表的。

之前已经有人爆料过宝塔的上报接口(site_task.py),为什么10月9日又新增了一个?
可能是之前的接口只是上报一些统计的数据,并没有上报用户IP这种敏感信息。
另外现在新增的这个更加隐蔽,通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。


明明有上百种方法可以获取到用户IP,为什么非要写那么一大堆js通过WebRTC的方式来获取。
原来这种方式可以无视代{过}{滤}理,我这边试了即使是开了全局代{过}{滤}理,也一样可以获取到真实IP而不是代{过}{滤}理服务器IP!


简单解决方法:


首先可以开代{过}{滤}理,检测下自己的的Web RTC是否泄露

https://ip.voidsec.com

如果Web RTC:是空就不用管了

如果Web RTC:后边显示的是你本地的IP,那就按以下教程设置下

Firefox浏览器禁用WebRTC的方法是:在浏览器上输入:about:config。之后搜索:media.peerconnection.enabled。找到它后双击,将其改成 false 即可。

Chrome浏览器禁用WebRTC的方法是:在Chrome应用商店里,安装一个名为WebRTC Leak Prevent的扩展, 然后设置成Disable就行了


虽然官网解释是授权。那大家自行判断。技术分享和分析。
我也没有抹黑bt宝塔那不好。如有违规.可删帖!

免费的bt宝塔一直都很不错!方便。快捷。
支持正版bt宝塔 !!!
使用盗版、破解版bt宝塔可能存在更可怕的东西。


免费评分

参与人数 70吾爱币 +67 热心值 +59 收起 理由
feefk + 1 谢谢@Thanks!
风川白日 + 1 + 1 woc看了下真的有webrtc
满庭枫 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
bing_2019 + 1 + 1 用心讨论,共获提升!
SeeingWang + 1 谢谢@Thanks!
songfeichenhuan + 1 + 1 谢谢@Thanks!
nnzhs + 1 + 1 谢谢@Thanks!
LXHYST + 1 我很赞同!
wcu1117 + 1 用心讨论,共获提升!
当涂一哥 + 1 谢谢@Thanks!
dddl + 1 + 1 我很赞同!
拾海贝的路人甲 + 1 谢谢@Thanks!
大头寀 + 1 + 1 谢谢@Thanks!
5omggx + 1 + 1 用心讨论,共获提升!
神经病院院长 + 1 + 1 热心回复!
qq1614266756 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
我不是坏人 + 1 + 1 谢谢@Thanks!
微笑丶永远 + 3 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
smme2021 + 1 + 1 我很赞同!
dogFun + 1 + 1 用心讨论,共获提升!
y资源党 + 1 + 1 我很赞同!
zcchk135820 + 1 我很赞同!
Zidhogg + 1 + 1 热心回复!
keda888 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
JackDx + 1 + 1 热心回复!
woai52lll + 1 谢谢@Thanks!
XXZZ8835 + 1 + 1 谢谢@Thanks!
yhw231 + 1 不太喜欢强制登录账号,小皮面板不用登录,有大佬研究吗
拂你青丝 + 1 + 1 用心讨论,共获提升!
pdman + 1 + 1 谢谢@Thanks!
dolphin77 + 1 + 1 谢谢@Thanks!
liudongssnh + 1 谢谢@Thanks!
HLYgyue + 1 热心回复!
a84291212 + 1 + 1 我很赞同!
panzer1234 + 1 我很赞同!
WX4885 + 1 + 1 没有贴edge的啊,edge中粘贴下列地址,并将这个选项改为Enable edge://fla.
limit7 + 1 + 1 无奈,真的无奈
bingshen + 1 + 1 谢谢@Thanks!
奥怪 + 1 + 1 用心讨论,共获提升!
supersudda + 1 我很赞同!
小小学生 + 1 + 1 我很赞同!
fsmode + 1 + 1 我很赞同!
ufldh + 1 + 1 用心讨论,共获提升!
丶仙某人 + 1 我很赞同!
a2556483812 + 1 + 1 热心回复!
诗木 + 1 + 1 我很赞同!
hjhj525 + 1 + 1 热心回复!
ruoxi + 1 + 1 热心回复!
timeni + 1 + 1 用心讨论,共获提升!
wayinit + 1 + 1 热心回复!
Souldirge + 1 + 1 谢谢@Thanks!
obitosec + 1 我很赞同!
SUNYUAN. + 1 谢谢@Thanks!
yiqibufenli + 1 + 1 我很赞同!
xzhtx + 1 + 1 谢谢@Thanks!
宅の士 + 1 + 1 我很赞同!
笙若 + 1 + 1 谢谢@Thanks!
龙笑天 + 1 + 1 用心讨论,共获提升!
谢单单 + 1 + 1 几个服务器一直用宝塔,你这让我不知所措了🤣
森林生灵 + 1 + 1 我很赞同!
辛五味la + 1 + 1 热心回复!
1MajorTom1 + 1 热心回复!
tanhaibigg + 1 + 1 谢谢@Thanks!
laoyuaadd44 + 1 + 1 热心回复!
LHZ8848 + 1 + 1 谢谢@Thanks!
burpliu + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
RUO + 2 + 1 用心讨论,共获提升!
qwerccy + 1 热心回复!
ytw6176 + 2 + 1 谢谢@Thanks!
dadalala1999 + 1 + 1 真是够流氓的

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

nihuge 发表于 2022-10-27 10:44
经过咨询,官方回复为:

感谢关注,非常抱歉给大家带来困扰,这是用于正常的登录及授权信息校准模块。
11{V2DL6(L96KYM[X(XMDIB.png

免费评分

参与人数 5吾爱币 +5 热心值 +1 收起 理由
geniusrot + 1 他没有解释下,为什么使用迷惑性行为么?
蚯蚓翔龙 + 1 有人信吗,故意用加密混淆的方法窃取隐私,谁知道会用到什么地方
xingmingle + 1 + 1 随便找个理由罢了……但我理解bt,因为可能是某些监管部门…
决不放弃 + 1 正经用途的代码还要加密混淆在公共js中?接口还取那种名字?
Pyth1n + 1 这真的扯淡,正经用途的代码还要加密混淆在公共js中?接口还取那种名字?

查看全部评分

yhtg 发表于 2022-10-27 09:40
江湖故人 发表于 2022-10-26 17:04
没做坏事你怕什么? 你做黑产的吗,

您的这种想法我不能认同,大家都知道彼此长得有啥,为啥夏天那么热还要穿着衣服?您一定没有做坏事,那么您可不可以把您个人的姓名、身份证号、电话、住址、家人的姓名电话告诉我啊?或者告诉版主?

免费评分

参与人数 17吾爱币 +19 热心值 +12 收起 理由
悼文吟诵 + 1 + 1 我很赞同!
bian96 + 1 我很赞同!
我的城市没有海 + 1 + 1 我很赞同!
莫忘的笨笨 + 1 + 1 我很赞同!
zw222 + 1 + 1 我很赞同!
dialga + 1 + 1 我很赞同!
 + 1 + 1 我很赞同!
shaunkelly + 1 我很赞同!
yamata + 1 + 1 我很赞同!
盖世乞03 + 1 后门就是后门,收集信息的
天性哥哥 + 1 + 1 我很赞同!
jianhuo + 1 热心回复!
sxlixiaoyang + 2 + 1 我很赞同!
NewType + 2 + 1 我很赞同!
heming002 + 1 + 1 用心讨论,共获提升!
蚯蚓翔龙 + 1 + 1 我很赞同!
佚名RJ + 1 热心回复!

查看全部评分

伤心的笔 发表于 2022-10-26 18:10
已经逐渐不用宝塔了,从它强制登录账号开始
yansenyao 发表于 2022-10-27 00:17
moonswamp 发表于 2022-10-26 17:20
嗯,不影响我继续使用宝塔!又不做灰色,正常个人和企业网站,爱收集不收集!

你愿意你信息被一个不知名的三方公司拿着?今天能偷你ip,你确定明天不能偷你数据库?有一就有二,纵容只会让它越来越没有底线
qch 发表于 2022-10-27 12:32
还这等瓜吃,事情还得再自从那次直播突然关闭之后。。。
灿烂的小居 发表于 2022-10-26 15:48
丶小蓝丶 发表于 2022-10-26 15:44
用途是什么呢,仅仅是获取IP么 还是什么原因求解释

卖授权,必要时候打击黑灰产业,应该就这些目的
zdmboot 发表于 2022-10-31 09:01
感觉这一两年宝塔收费的项目越来越多,要求也越来越多,我新项目现在都先直接用DOCKER算了,现在也正学习达内、老男孩的linux运维管理,未来自己用K8S搭管理平台了,不打算上宝塔了......
请跪迎朕 发表于 2022-10-26 20:38
程序员不都是自己搞么?还需要用宝塔么?
夜聆 发表于 2022-10-26 15:58
comcn 发表于 2022-10-26 15:48
但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:
大佬抽空能写篇文章学习下吗

1、打开浏览器控制台;
2、调到Console;
3、复制代码,粘贴;
4、删除“eval”这四个字符;
5、回车。

免费评分

参与人数 1热心值 +1 收起 理由
xyl52p + 1 谢谢@Thanks!

查看全部评分

comcn 发表于 2022-10-26 15:48
但是宝塔在最后加入了一段eval加密的js。这种js很好解密,以下是解密后的js:
大佬抽空能写篇文章学习下吗
丶小蓝丶 发表于 2022-10-26 15:44
用途是什么呢,仅仅是获取IP么 还是什么原因求解释
ytw6176 发表于 2022-10-26 15:47
牛逼,我好多个都升到7.9.4x了
fglive 发表于 2022-10-26 16:38
感谢分享,牛人
vistal 发表于 2022-10-26 16:53
有没有可能和fzapp一个原理
mingren1993 发表于 2022-10-26 16:53
之前用过一次,感觉还挺好。 结果3天后,腾讯云报,好多次异地尝试登录,吓得我直接重装系统,更换ip。  没有这种危险提示了
那年夏天52 发表于 2022-10-26 16:59
好家伙,一直在用宝塔,这丫居然一直监控我们
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 10:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表