把 Clash RCE 武器化的典型案例

45 天前

huangxiao123

国护已经完成，期间朋友分享了个很骚的网站，该站的蓝队人员把 Clash RCE 运用到了实战里

RT ，访问该网站，会自动枚举 Clash 常见端口 + 4170x 端口，然后调用 Clash API 下发 yaml

Link

http://60.29.77.223:8080

JavaScript

http://60.29.77.223:8080/gBn3F71o0NYt/vue.js

还做了系统版本判断，Victim 有 Win 有 Mac

Yaml 文件

let yaml_path = {
    "win": "http://60.29.77.223:8080/05260CAD5B9562AEA0AAC8039A3AD3987E8E5E42330C39421B5F2D8D9B7880A806755F53968F788FF311B9A772",
    "mac": "http://60.29.77.223:8080/385A4D8141A3E7951E5DCFF35A11387BA4B79B23970EF6954CD8F5CFF75B5E463662978C95EF1B2D2868232F60",
}

这里以 windows 为例子，会执行 Powershell Invoke-RestMehod 方法下载 exe 存到C:\Users\Public\winIogon.exe 并且执行 winIogon.exe

木马分析

微步

https://s.threatbook.com/report/file/65095500dd954dba19c11dd9f7f88a5138bbbce3eec152dbfd1ef04e9b3d4019?sign=history&env=win10_1903_enx64_office2016

做了基础的一些沙箱检测，木马行为就单纯的执行 shellcode ，非注入

更深入的分析 IDA 什么的，楼主就不会了 TAT

5255 次点击

所在节点

28 条回复

AEnjoyable

45 天前

我有点好奇
现在 Chrome 和 edge 对 HTTPS 站点（你给出的这个网站）请求 http （ clash API endpoint ）都是默认拒绝的，能生效吗

kuanat

45 天前

现在 chrome/firefox 应该都会默认阻止对 localhost 端口的非直接访问，这个第一步应该就执行不下去。

dem0ns

45 天前

@kuanat 恰恰相反

lovekernel

45 天前

就是以后访问装陷阱的网站，该网站会自动进行端口扫描，然后利用 Clash RCE 下载 winIogon.exe 到本机运行？这么恐怖吗？

cwxiaos

45 天前

好像老早就端口要求设密码了

NGGTI

45 天前

是不是某亭的蜜罐啊，插入 js 的。

NGGTI

45 天前

这 IP 8080 端口，就是蜜罐了

codehz

45 天前

@AEnjoyable
@kuanat 其实是这么个事，localhost/127.0.0.1 被当做安全连接了，所以不会有 mixed content 错误，本来是一个本地测试方便。。。
之前的那个 Private Network Access 在开了代理之后也会失效（不过 PNA 早就自己退役了 https://developer.chrome.com/blog/pna-on-hold?hl=zh-cn ）
以及新的对访问私有地址的限制还在草案阶段（ https://github.com/WICG/local-network-access?tab=readme-ov-file

crackidz

45 天前

这个很早之前就反馈过了，官方认定就是不改

restkhz

45 天前

正好最近搞了个这个： https://github.com/restkhz/CutterMCP-plus
对这个马做了一个简单静态逆向，这个马功能没那么简单。但他调试符号没有剥掉...
这马偷很多信息啊，而后从 c2 下载另一个马再执行。

deepbytes

45 天前

cool ，最近刚要被派出去某金融机构做重保，marked ，看有没有收获

guhuisec

45 天前

@kuanat 还有很多方法不一定通过外面访问，比如服务端请求伪造这种，一个 ssr 如果配上这个 clash rce 就能变成一个 shell 了

doco

45 天前

点进楼主的链接会有危险吗? 刚点进去看了下那个 vue.js

huangxiao123

45 天前

@NGGTI #6 不知道是不是長亭的東西 XD

huangxiao123

45 天前

@doco #13 看 JS 沒什麽問題，但是點那個站，如果你的 Clash 在漏洞範圍裏面那會 GG

huangxiao123

45 天前

@cwxiaos #5 是，但是還是有人用著 Outdated 的 Shit

whoami9894

45 天前

用 N-day 做蜜罐反制在几年前就是常规操作了，甚至用 0-day 的也有。很多攻击队会用一台干净新设备专门打国护，或者在虚拟机里操作，就是怕被溯源

miniliuke

45 天前

不太明白，js 访问 127.0.0.1 不会触发浏览器的跨站吗？

NotLongNil

45 天前

flclash 有个“外部控制器”的开关。关闭了，是否就安全了？

metalvest

45 天前

@NotLongNil mac 本来就不受影响吧

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1151415

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX