电梯直达

楼主

本帖最后由 世态炎凉S冷暖自 于 2022-10-27 15:10 编辑 今天对比了一下最新版7.9.4的宝塔面板（宝塔的开发习惯是即使是同一个版本号，也会不断更新文件）。


发现了一个js文件比较可疑，经过分析后得出，是宝塔最新增加的上报后门，可以上报用户自己的IP和端口（非服务器的）js文件路径：/panel/BTPanel/static/laydate/laydate.js根据文件时间戳，可知是10月9日更新的。这个文件本身是layer的日期显示组件，但是宝塔在最后加入了一段eval加密的js。这种js很好解密，以下是解密后的js：截图部分
可以看出是创建了个WebRTC连接，最终是拿到了用户自己的IP和端口（id和pid变量），并组合后进行了简单加密，赋值给cid，POST到接口/plugin?action=get_soft_list_thread那么get_soft_list_thread是在干什么呢，找到py代码，是异步调用/script/flush_soft.py，然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)下面反编译看看这个方法是具体干什么的



宝塔搞了个很有迷惑性的方法名，初看还以为是获取软件列表的，实际根本不是。


方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list，并未对返回值进行处理，可确定不是获取软件列表的。之前已经有人爆料过宝塔的上报接口（site_task.py），为什么10月9日又新增了一个？
可能是之前的接口只是上报一些统计的数据，并没有上报用户IP这种敏感信息。
另外现在新增的这个更加隐蔽，通过迷惑性方法名、夹杂在公共js文件等手段进行隐藏。


明明有上百种方法可以获取到用户IP，为什么非要写那么一大堆js通过WebRTC的方式来获取。
原来这种方式可以无视代{过}{滤}理，我这边试了即使是开了全局代{过}{滤}理，也一样可以获取到真实IP而不是代{过}{滤}理服务器IP！


简单解决方法：


首先可以开代{过}{滤}理，检测下自己的的Web RTC是否泄露

https://ip.voidsec.com

如果Web RTC:是空就不用管了

如果Web RTC:后边显示的是你本地的IP，那就按以下教程设置下

Firefox浏览器禁用WebRTC的方法是：在浏览器上输入：about:config。之后搜索：media.peerconnection.enabled。找到它后双击，将其改成 false 即可。

Chrome浏览器禁用WebRTC的方法是：在Chrome应用商店里，安装一个名为WebRTC Leak Prevent的扩展, 然后设置成Disable就行了

虽然官网解释是授权。那大家自行判断。技术分享和分析。
我也没有抹黑bt宝塔那不好。如有违规.可删帖！免费的bt宝塔一直都很不错！方便。快捷。
支持正版bt宝塔 ！！！
使用盗版、破解版bt宝塔可能存在更可怕的东西。

免费评分

参与人数 27	吾爱币 +26	热心值 +25	收起 理由
丶仙某人		+ 1	我很赞同！
a2556483812	+ 1	+ 1	热心回复！
诗木	+ 1	+ 1	我很赞同！
hjhj525	+ 1	+ 1	热心回复！
ruoxi	+ 1	+ 1	热心回复！
timeni	+ 1	+ 1	用心讨论，共获提升！
wayinit	+ 1	+ 1	热心回复！
Souldirge	+ 1	+ 1	谢谢@Thanks！
obitosec	+ 1		我很赞同！
SUNYUAN.		+ 1	谢谢@Thanks！
yiqibufenli	+ 1	+ 1	我很赞同！
xzhtx	+ 1	+ 1	谢谢@Thanks！
宅の士	+ 1	+ 1	我很赞同！
笙若	+ 1	+ 1	谢谢@Thanks！
龙笑天	+ 1	+ 1	用心讨论，共获提升！
谢单单	+ 1	+ 1	几个服务器一直用宝塔，你这让我不知所措了🤣
森林生灵	+ 1	+ 1	我很赞同！
辛五味la	+ 1	+ 1	热心回复！
1MajorTom1		+ 1	热心回复！
tanhaibigg	+ 1	+ 1	谢谢@Thanks！
laoyuaadd44	+ 1	+ 1	热心回复！
LHZ8848	+ 1	+ 1	谢谢@Thanks！
burpliu	+ 1	+ 1	感谢发布原创作品，吾爱破解论坛因你更精彩！
RUO	+ 2	+ 1	用心讨论，共获提升！
qwerccy	+ 1		热心回复！
ytw6176	+ 2	+ 1	谢谢@Thanks！
dadalala1999	+ 1	+ 1	真是够流氓的

查看全部评分

本帖被以下淘专辑推荐:

• · 分析示例|主题: 419, 订阅: 79

收藏41 淘帖1 有用7 分享到朋友圈

回复

举报

来自 #

经过咨询，官方回复为：

感谢关注，非常抱歉给大家带来困扰，这是用于正常的登录及授权信息校准模块。

免费评分

参与人数 4	吾爱币 +4	热心值 +1	收起 理由
蚯蚓翔龙	+ 1		有人信吗，故意用加密混淆的方法窃取隐私，谁知道会用到什么地方
xingmingle	+ 1	+ 1	随便找个理由罢了……但我理解bt，因为可能是某些监管部门…
决不放弃	+ 1		正经用途的代码还要加密混淆在公共js中？接口还取那种名字？
Pyth1n	+ 1		这真的扯淡，正经用途的代码还要加密混淆在公共js中？接口还取那种名字？

查看全部评分

【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]

回复 支持 2

举报

推荐

如何升级？如何获得积分？积分对应解释说明！

回复 支持 10

举报

推荐

如何快速判断一个文件是否为病毒！

回复 支持 3

举报

推荐

程序员不都是自己搞么？还需要用宝塔么？

回复 支持 2

举报

推荐

回复 支持 2

举报

推荐

吓得我马上放弃用宝塔的想法

回复 支持 1

举报

推荐

有没有可能和fzapp一个原理

回复 支持 1

举报

推荐

还这等瓜吃，事情还得再自从那次直播突然关闭之后。。。

回复 支持 1

举报

4^#

用途是什么呢，仅仅是获取IP么 还是什么原因求解释

回复 支持

举报

5^#

牛逼，我好多个都升到7.9.4x了

回复 支持

举报

6^#

但是宝塔在最后加入了一段eval加密的js。这种js很好解密，以下是解密后的js：
大佬抽空能写篇文章学习下吗

回复 支持

举报

7^#

免费评分

参与人数 1	热心值 +1	收起 理由
xyl52p	+ 1	谢谢@Thanks！

查看全部评分

回复 支持

举报

8^#

感谢分享

回复 支持

举报

9^#

感谢分享,牛人

回复 支持

举报

10^#

之前用过一次，感觉还挺好。 结果3天后，腾讯云报，好多次异地尝试登录，吓得我直接重装系统，更换ip。  没有这种危险提示了

回复 支持

举报