某塔强制绑定账号分析

阅读量263448

发布时间 : 2022-11-07 12:00:56

 

前言:

某塔面板对于大家来说再熟悉不过了, 某塔面板是众多服务器管理软件中拥有友好的界面交互体验、功能完善且不断更新的一款产品。某塔面板做的就是一款简单好用的服务器管理软件。对于新手而言,不需要太多基础,安装下载,一句话命令安装,即可解决,有丰富的插件,一键安装环境等,受不少开发者青睐。

从7.4.5版本开始,某塔安装后首页强制绑定手机号码,虽然没有关闭按钮,但其实只是一个弹窗,并且只在首页提示(不排除之后官方改成其他页面也弹窗),不想绑定的用户可以直接修改面板首页文件即可关闭!

 

低版本关闭绑定账号

方法1

小白来说最简单方法直接删除 /www/server/panel/data/bind.pl文件即可(也可以改成其他名字)

方法2

浏览器地址后面添加/files跳转到某塔文件管理页面,比如你的某塔地址是192.168.2.1:8888,改成192.168.2.1:8888/files访问;然后定位到以下目录/www/server/panel/BTPanel/static/js 找到index.js文件,编辑,然后找到大概65行左右以下代码

if (bind_user == 'True') {show_force_bind();}

将True改成其他比如REMOVED,最后保存,然后强制刷新下页面,就不会提示绑定手机了~

方法3

当然,如果开着SSH,也可以直接命令一键修改,实现原理跟方法1相同

sed -i "s|if (bind_user == 'True') {|if (bind_user == 'REMOVED') {|g" /
www/server/panel/BTPanel/static/js/index.js

 

新版本绑定分析

某塔从 7.8 版本开始,免费版要强制登陆、绑定手机号之前的绕过强制登录的方法已经失效。因为新版本某塔面板开始验证userInfo.json,而且目前没有任何的方法可以跳过强制手机号登录绑定账户的解决方法。某塔面板7.8.0强制登录问题,因为登录信息跟软件列表绑定,目前无法直接破解,删除,绕过登录,目前只能通过降级的方式来解决绑定账号的问题。
userInfo.json 内容

{
  "id": 12XXX83,
  "uid": 71XX92,
  "state": 1,
  "username": "159XXXXX327",
  "secret_key": "HVZUWEIQEI8372yxyXXXsykC8e7jG4kcIVV8DZ5RlGzcl3e",
  "access_key": "tN9hNRWC324SXXXXIZH5ISRouci",
  "address": "1.XXX.XXX.134",
  "addtime": 1634220528,
  "idc_code": "",
  "area": "",
  "serverid": "8c80e4346XXXXXX856f1676762a",
  "ukey": "d12323bXXXXXX26f187e7624e"
}

它的执行过程是 每次都会请求改文件,拿到信息后去请求某塔站点上的账号是否存在,存在则绑定成功,不存在则绑定失败。
未绑定

对接的请求文件都是加密pyd文件,暂时没有找到绕过方法。后续对这个文件详细了解后,后期会再给大家具体聊一下。

 

解决方法

既然没法绕过绑定账号,那就降级低版本去绕过账号信息。
某塔降级教程,(使用ssh连接工具执行下面命令)

1: 下载离线升级包
wget http://download.bt.cn/install/update/LinuxPanel-7.7.0.zip
2: 解压
unzip LinuxPanel-7.7.0.zip
3: 进入升级目录
cd /root/panel
4: 运行降级
bash update.sh
降级完成后建议开启离线模式:面板设置->离线模式
离线模式只能保证某塔主程序联网更新。

本文由Tide安全团队原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/282486

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
Tide安全团队
分享到:微信

发表评论

Tide安全团队

Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

  • 文章
  • 83
  • 粉丝
  • 71

相关文章

热门推荐

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66