clash爆高危漏洞!clash.meta也中招!所有系统全中招!如何安全设置clash?暴露RESTful api接口的危害,实战演示中木马病毒被黑客控制电脑,任意目录写入文件漏洞,跨域攻击
ฝัง
- เผยแพร่เมื่อ 5 ก.ค. 2024
- 当你通过clash或者clash.meta进行科学上网的时候,不小心打开了这个网址,网址跳转到了百度首页,你感觉什么事情都没有发生,但实际上你的电脑可能已经中了木马病毒。本期就来讲讲不安全的clash配置会导致什么问题,以及该如何安全的配置使用clash
演示地址(无风险代码):clash-rce.pages.dev
参考博文:0xf4n9x.github.io/clash-unaut...
专线机场推荐:b.880805.xyz
高速线路VPS推荐:d.880805.xyz
7x24小时直播分享节点:api.buliang0.cf/live
=====节点搭建=====
最安全、最稳定的节点搭建方式,零基础保姆级手把手教学,保证新手小白也能学会
视频教程: • 【零基础】2024最新保姆级纯小白节点搭建教...
====跨境电商====
住宅IP代理推荐:ip.880805.xyz
电脑住宅代理技巧: • 原生IP、住宅IP新手科普,为什么需要住宅I...
手机住宅代理技巧: • 网赚必备的住宅IP使用技巧,让你的脏IP节点...
专线中转推荐:g.880805.xyz
跨境加速中转技巧: • 【专线中转】任何节点秒变专线,复活被墙节点且...
指纹浏览器推荐:zw.880805.xyz
浏览器指纹科普: • 账号注册经常被风控?浏览器多开防串号,让账号...
====合租推荐====
奈飞合租推荐:nt.880805.xyz
免翻墙ChatGPT plus:gpt.880805.xyz
9.3折优惠码:BLL93
(一)奈飞科普: • 【新手科普】中国大陆用户观看奈飞的必要条件,...
(二)奈飞解锁: • 奈飞解锁方式大全,原生IP解锁、二级代理解锁...
(三)奈飞劫持: • 【全网首发】连接节点就能免费观看奈飞?!速蛙...
====节点搭建系列====
0.文档汇总:api.buliang0.cf/guide
1.网络通信的基本过程: • 节点搭建系列(1):网络通信的基本过程,访问...
2.墙拦截的原理与绕过: • 节点搭建系列(2):GFW防火墙是怎么阻断我...
3.SS节点搭建初体验: • 节点搭建系列(3):SS被精准探测端口秒封?...
4.trojan原理与搭建: • 节点搭建系列(4):目前最好的翻墙协议?史上...
5.vmess原理与搭建: • 节点搭建系列(5):最稳定的翻墙方式?深入浅...
6.vless原理与搭建: • 节点搭建系列(6):XTLS性能之王被精准识...
7.你的节点怎么这么慢: • 节点搭建系列(7):你的节点速度为什么这么慢...
8.节点免费提速方案: • 节点搭建系列(8):如何不花钱提升你的节点速...
====代理系列教程====
【进阶•代理模式篇】 • 【进阶•代理模式篇】看懂就能解决99%的代理...
【进阶•DNS泄露篇】 • 【进阶•DNS泄漏篇】竟能提速降延迟!再也不...
【进阶•DNS分流篇】 • 【进阶•DNS分流篇】提速降延迟!保护个人隐...
【进阶•DNS代理篇】 • 【进阶•DNS代理篇】最完美的DNS解决方案...
【进阶•UDP穿透篇】 • 【进阶•UDP穿透篇】WebRTC泄漏真实I...
00:00 前言
01:31 实战演示黑客入侵
03:25 造成被入侵的原因
05:07 解决漏洞的方法
07:11 大家的网络安全意识到底有多低? - วิทยาศาสตร์และเทคโนโลยี
关于有的朋友认为这不算是漏洞,我想补充几个观点:
1、路径穿越本身并不被视为漏洞,因为很多程序允许 人为 的路径穿越。
2、内网环境没有设置Clash API密钥很常见,因为内网环境通常被认为是相对安全的,大多数人不会在内网环境中设置授权密码。
3、CORS本身也不是漏洞,而是浏览器实施的一种安全机制。
但是,由于内网环境未设置Clash API密钥,这使得任意网站可以通过浏览器的CORS机制调用Clash API接口。同时,路径穿越的存在使得调用API接口后,恶意代码可以被写入到电脑上的任意有权限的位置(非人为的路径穿越)。这样的攻击链就构成了漏洞。
尽管集齐这三个条件可能看起来很困难,但实际上,视频中展示的Clash Verge+Clash.Meta组合的默认配置就满足了这三个条件。对于不熟悉安全性的普通用户来说,默认情况下就存在这个漏洞。因此,视频中主要演示如何通过为Clash API添加密钥来打断这个攻击链,以确保安全性。
如果大家有其他观点,欢迎在评论区留言交流。
对clash完全不了解,调用clash的api,密钥是如何发送的呢?
如果是通过basic认证发送,那么只要用户之前在浏览器上访问过web界面,浏览器缓存了密钥,那么还是可以利用cors进行攻击的吧?
我使用v2rayN,能讲讲v2rayN的漏洞吗
1
我被不良林的私人电报骗了350.就刚刚10分钟之前.为了让他教我如何被墙的问题,他用微信二维码收款之后就删掉了电报聊天记录。艹了。我说谎出门被车撞
全程无废话,赞一个!
真的很感谢博主,我用的以前的版本,这些都不知道,真的很感谢,路转粉😘
支持up普及网络安全!
吓一跳,赶紧更新了,感谢博主
确实讲得太棒了,能讲讲软路由就好了
干货满满👏
必须点赞
讲的太棒了
先点赞再观看
小tips,fofa扫出来的应该大部分是部署在路由上的openclash,它本身对路径穿越是有防护的,以及对权限限制比较完善,所以还是比较安全的
我还担心路由运营openclash会不会中招,放心了
专业。涨知识了。谢谢
很棒的教程😘😘
为了流量的小随想,支持不良
感谢提醒😊
Security through obscurity ,利用隐蔽性达到安全性永远不是一个好的方法。该解决的除了是path traversal的漏洞以外,最主要的是应该解决未授权的用户能随意控制API接口的问题。不设置API key就可以拥有RWX控制是一个很大的漏洞。当然,理论上不应该允许负责clash 的用户拥有写入任何目录的权限。顶多是给写入config目录的权限,而且不应该有execution的权限。
从RWX角度解决问题就搞复杂了,升了一个scope,况且Clash更新配置文件需要RW,漏洞链攻击的第三方组件如Powershell也不理会文件的X属性,Clash全interface监听小端口权限不会小。漏洞链是SSRF+broken access control+directory traversal,破坏任意一环都能有效缓解利用,这也是从软件漏洞本身去修复,RWX的思路更适合HIDS/EDR这类兜底产品来负责。类Electron客户端漏洞层出不穷跟它用network socket作内部RPC调用有很大关系,SSRF成本太低。
@@soneomeelse 当然最优先解决的应该是dir traversal 的问题。我不用windows伺服器,所以用的是linux的角度看RWX权限控制。理论上如果负责clash的用户无法写入除自身config和log目录,也可避免这种情况,因为根本不可能把payload 放到会自动执行的地方。除非漏洞是privilege escalation之类,否则不可能突破OS 设置的权限控制。即便clash 甚至是其他软件出漏洞了,这个方法仍然确保万无一失。
Edit: 回应监听小端口的问题,据我所知systemd config 可以单独允许监听小端口而没有高权限。甚至更进一步,应该用reverse proxy 的方式监听小端口再forward 给clash
感谢您的分享
感谢分享😁
多謝提醒.
很多人都覺得彈計算機沒甚麼 實際上就是很嚴重的 RCE 相當於你被控制
感谢分享,我赶紧更新了clash
加油,你的初心是對的,不用在意別人
老哥厉害
多谢大神提醒
谢谢博主~
先赞后看
太赞了,感谢分享!🎉🎉🎉
it小白路过,惊呆了,私以为以现在的防火墙水平,能直接通过钓鱼链接控制电脑几乎是不可能的事,结果现实狠狠的给了一耳光,涨见识了
老哥你好,作为您的粉丝一直在用您的测速软件和easy clash,一直以来都非常好用,看了这期视频想问一下这两个软件需要更换clash内核来规避这次风险吗,如果需要的话又该下载哪个内核文件更换呢
感谢不良林!
感谢分享,支持订阅
谢谢博主分享!
感谢🙏,我现在就改!
感谢分享
安全绝对是天大的问题,受攻击造成的损失是无法估量的,心痛!
Wow
大把BTC被盗的
❤爱来自感谢
up你好,请问现在clash删库之后,我们应当作何反应?是否应该尝试使用如v2ray的工具替代clash?
好人一生平安!
谢谢分享
虽然看不懂,但是仍然先赞再评论再看,一条龙走下去
看着挺好玩❤
谢谢UP分享虽然我很少用clash,但是这个问题确实很严重。
你一般用什么😂
@@wangyiji313 一般不用
他刚刚显示我的手机和网络波动已经被监控了
@@ChaoyueAi哪里显示的😢
@@ChaoyueAi开了梯子就会显示的,问题不大
支持!
请教UP主一个问题, 同样的节点, 电脑使用没任何问题. 手机端连接WiFi没有问题, 但是移动网络就不行. 但是移动网络中,如果将节点服务器更改为VPS的IP地址, 就可以了. 不知道什么原因. 手机端是shadowrocket
感谢大佬。赶紧完成升级。之前觉得有点怪,近来clash时不时就无法启动内核,一直处于disconnected的状态,重启后又ok,不知什么原因,和这漏洞有关系吗?
感谢大佬
很完美,怪不得我说使用classh测速的时候根本无法使用呢 - - , 哈哈哈
可以出一期视频讲讲如何辨别专线节点嘛
docker环境 哪个镜像可以包含内核+WebUI? docker环境两者必须是分开搭建的吗?
感谢Up主,Mac Windows已更新到最新。但是Clash For Android 最新版本是22年11月的,这个最新的Android版本的Clash是没有这个问题呢,还是漏洞补丁还没更新?
没有这个问题
不良林大大,可以讲一讲ikev2节点搭建吗?
那手机当做旁路网关那期box5使用的clash.meta会对局域网其他设备造成隐患吗?
以前多次遇到这种跳转式的网站。小时候看过一些病毒介绍,知道不对劲,但无力排查
刺激哦
小伙子很快啊
Thank you very much,
想请问一下,macOS,刚装了CFW,也替换了clash.meta。自建的VPS,reality,怎么导入到CFW?我看写的手动配置要导入一个脚本似的,不懂
我台式机系统是manjaro linux,用了shellclash,也用的yacd面板,没有配置公网,危险性应该不大吧?
请问config.yaml文件中这么多配置视频教程有吗?在哪期?我这个配置文件中只有四行
请问trojan-qt5 v1.4.0受影响吗?听说trojan也客户端也用了clash内核?求解答
厉害
有没有办法讲一下如何设置路由器或者配置clash,上网飞?不知道为什么,我ps5上不了网飞,电脑登网飞网站也打不开,但是微软商店里下了个网飞app却可以登陆网飞,我用的梅林,同样的节点,同样的路由器为为什么会这样?
clash 放在软路由里面会不会存在还是只针对PC客户端?
黑客也可以靠更换代理配置来截获网络流量吧,这也很危险啊
问一下,今天看视频的时候突然就跳转到百度首页了,什么都没点,平时也没用过百度,会不会有啥危险呀
UP主能给普及一下openclash添加80和443端口的VMESS节点,为什么就上不去网? 在v2ray软件中就可以正常使用。
好彩
如何自己检查自己有没有暴露api,有没有已经被攻击,能不能关于这个出一期教程,提高安全防范水平。
被入侵,如果自己浏览器上的小狐狸钱包里有不少钱,会不会被别人划走啊😢
在nas服务器中的使用openclash做透明代理,然后在其他机器上点病毒链接,会下载恶意代码吗?是下载在nas上还是点链接的机器上呢?
如果钓鱼网站的ip用的是你nas的ip,同样也会下载恶意指令到nas机上,不管在哪台机上点
請問作者的clash easy 影響多大?
感谢
太吓人了,感谢您的提醒!这就去修改配置
学到了
装在路由器里的meta,会有影响吗?
版主,你好,我有个小问题,就是clash for windows 点击旁边显示 有更新,就会下载最新版本对吧?但是最新版本打开是英文界面的,有什么方法做汉化翻译吗?
github上有个项目可以汉化
作者大大,路由器梅林上的clash有影响吗
举个例子 假如已经被监控 按你说的配置随机端口加密码 就能解决吗?万一他录屏了 看到你设置密码不是还是不行?
请教下UP,我用你推荐的静态IP+快联+指纹浏览器,为什么google账号还是会被风控,提示存在关联交叉!
前排❤
请问:clash 可以装到虚拟机上吗?比如:Hyper-V Manager
请问如果是用clash for Android,会受影响么?这个是用的很久的老内核
我想问一下苹果手机用小火箭连接节点测试延迟可以,但无法上网,电脑上用v2ray可以上网,为什么
Kali用的好,牢饭吃到饱😅
所以我的clash-api只允许本地访问,也单独给了clash服务一个权限较低的用户,导致clash完全不能向电脑写数据。写了一个外部的脚本更新clash配置文件。。
想借地问一下 有时候点链接弹出一个新的chrome窗口又自己消失了是不是中了什么坏东西😨
相信我绝对是的,那个chrome其实是系统毁灭工具,闪一下windos立刻变身MAc ios
请问我用v2rayn上网的时候开自动配置没有用 要开PAC才有用是什么情况
安卓端的clash.meta 版本的怎么设置?Apl那个地址能设置,鉴权那个设置不了第七行会报错
真皮!!
大佬 openclash是否安全呢,安全与否是不是和使用的机场有关呢?设置旁路由模式来科学上网是否有必要?
把clash内核更新一下
大佬你好,想请教一下,既然这次都高危漏洞是基于clash内核的,那么clash for Android也会受到这个漏洞影响吗?
手机不会
牛逼
不良老哥,请教一下用Merlin Clash,会不会中招啊,因为不了解Merlin Clash的结构。。。所以请教一下
理论上是提供了一个被黑的可能性,不过linux一般被入侵也就是被用来挖矿或者勒索,就一般来说黑客看不上咱们的路由器
手机会有影响吗 clash for andriod
我用的是mac os版的clash x pro升级到最新版了,应该不会中招了吧楼主?
试了一下 还真是
我点了上面的演示连接,然后跳转到百度首页了😅,我没用clash,没啥问题吧?
我之前被木马感染,连了矿池,用的是V2N的10808端口。关闭局域网共享这矿池就连不上我,我也不懂技术,重做系统也没用,360小红伞也不行。重做后连10808还是在的。再后来请出卡巴斯基解决掉了。这个默认的端口都应该小心点改掉。
在软路由里使用的,是不是修改配置文件里的端口,添加密码就好了
卧槽😱
目录穿越导致的任意文件写入导致的后门植入😂
请问我的版本是0.19 设置里没有外部控制,还需要更新吗。。