某塔最新版新增上报后门-老妖IT乐园

友情提示:小白购买需注意,程序不包安装,无技术支持,因资源可复制性,不接受任何理由退款。

本站资源仅供学习测试！不得用于非法用途！商业用途与本站无关！资源自行测试不做任何保证！

本站资源默认解压密码：www.itxen.cn或者自行在下载页面查询

今天对比了一下最新版7.9.4的某塔面板（某塔的开发习惯是即使是同一个版本号，也会不断更新文件）。发现了一个js文件比较可疑，经过分析后得出，是某塔最新增加的上报后门，可以上报用户自己的IP和端口（非服务器的）

js文件路径：

/panel/BTPanel/static/laydate/laydate.js

根据文件时间戳，可知是10月9日更新的。

这个文件本身是layer的日期显示组件，

但是某塔在最后加入了一段eval加密的js。

这种js很好解密，以下是解密后的js：

（完整代码粘贴不出来，会被拦截，只能截图部分。）

可以看出是创建了个WebRTC连接，

最终是拿到了用户自己的IP和端口（id和pid变量）

并组合后进行了简单加密，赋值给cid，

POST到接口/plugin?action=get_soft_list_thread

那么get_soft_list_thread是在干什么呢，

到py代码，是异步调用/script/flush_soft.py，

然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)

下面反编译看看这个方法是具体干什么的

某塔搞了个很有迷惑性的方法名，初看还以为是获取软件列表的，实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list，并未对返回值进行处理，可确定不是获取软件列表的。

之前已经有人爆料过某塔的上报接口(site_task.py)，为什么10月9日又新增了一个？可能是之前的接口只是上报一些统计的数据，并没有上报用户IP这种敏感信息。另外现在新增的这个更加隐蔽，通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。

本站网络名称： 老妖IT乐园

本站永久网址： https://www.itxen.cn

网站侵权说明：本站采用知识共享署名-相同方式共享 4.0国际 (CC BY-NC-SA 4.0)进行许可，转载或引用本站文章应遵循相同协议。
1 本站仅为转载分享，不提供任何上传下载服务，所有内容均来自互联网第三方分享站点所提供的公开引用内容。更多查阅免责申明
2 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
3本站资源售价只是赞助，收取费用仅维持本站的日常运营所需，并且本站不提供任何免费技术支持！
4 如果有侵犯版权的资源请尽快联系站长，我们会在三个工作日内删除有争议的资源。点击侵删流程
站长邮箱：admin@itxen.cn

THE END