某塔强制绑定账号分析

渗透技巧 2年前 (2022) admin
456 0 0

某塔强制绑定账号分析

前言:

某塔面板对于大家来说再熟悉不过了, 某塔面板是众多服务器管理软件中拥有友好的界面交互体验、功能完善且不断更新的一款产品。某塔面板做的就是一款简单好用的服务器管理软件。对于新手而言,不需要太多基础,安装下载,一句话命令安装,即可解决,有丰富的插件,一键安装环境等,受不少开发者青睐。

从7.4.5版本开始,某塔安装后首页强制绑定手机号码,虽然没有关闭按钮,但其实只是一个弹窗,并且只在首页提示(不排除之后官方改成其他页面也弹窗),不想绑定的用户可以直接修改面板首页文件即可关闭!

某塔强制绑定账号分析

低版本关闭绑定账号

方法1

小白来说最简单方法直接删除 /www/server/panel/data/bind.pl文件即可(也可以改成其他名字)

方法2

浏览器地址后面添加/files跳转到某塔文件管理页面,比如你的某塔地址是192.168.2.1:8888,改成192.168.2.1:8888/files访问;然后定位到以下目录/www/server/panel/BTPanel/static/js 找到index.js文件,编辑,然后找到大概65行左右以下代码

if (bind_user == 'True') {show_force_bind();}

将True改成其他比如REMOVED,最后保存,然后强制刷新下页面,就不会提示绑定手机了~

方法3

当然,如果开着SSH,也可以直接命令一键修改,实现原理跟方法1相同

sed -i "s|if (bind_user == 'True') {|if (bind_user == 'REMOVED') {|g" /
www/server/panel/BTPanel/static/js/index.js

新版本绑定分析

某塔从 7.8 版本开始,免费版要强制登陆、绑定手机号之前的绕过强制登录的方法已经失效。因为新版本某塔面板开始验证userInfo.json,而且目前没有任何的方法可以跳过强制手机号登录绑定账户的解决方法。某塔面板7.8.0强制登录问题,因为登录信息跟软件列表绑定,目前无法直接破解,删除,绕过登录,目前只能通过降级的方式来解决绑定账号的问题。userInfo.json 内容

{
  "id": 12XXX83,
  "uid": 71XX92,
  "state": 1,
  "username": "159XXXXX327",
  "secret_key": "HVZUWEIQEI8372yxyXXXsykC8e7jG4kcIVV8DZ5RlGzcl3e",
  "access_key": "tN9hNRWC324SXXXXIZH5ISRouci",
  "address": "1.XXX.XXX.134",
  "addtime": 1634220528,
  "idc_code": "",
  "area": "",
  "serverid": "8c80e4346XXXXXX856f1676762a",
  "ukey": "d12323bXXXXXX26f187e7624e"
}

它的执行过程是 每次都会请求改文件,拿到信息后去请求某塔站点上的账号是否存在,存在则绑定成功,不存在则绑定失败。未绑定

某塔强制绑定账号分析

已绑定

某塔强制绑定账号分析

对接的请求文件都是加密pyd文件,暂时没有找到绕过方法。后续对这个文件详细了解后,后期会再给大家具体聊一下。

解决方法

既然没法绕过绑定账号,那就降级低版本去绕过账号信息。某塔降级教程,(使用ssh连接工具执行下面命令)

某塔强制绑定账号分析

1:  下载离线升级包 wget http://download.bt.cn/install/update/LinuxPanel-7.7.0.zip
2:  解压 unzip LinuxPanel-7.7.0.zip
3:  进入升级目录 cd /root/panel
4:  运行降级 bash update.sh降级完成后建议开启离线模式:面板设置->离线模式 离线模式只能保证某塔主程序联网更新。

某塔强制绑定账号分析

E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

某塔强制绑定账号分析

原文始发于微信公众号(Tide安全团队):某塔强制绑定账号分析

版权声明:admin 发表于 2022年9月27日 下午5:04。
转载请注明:某塔强制绑定账号分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...