Clash(Clash.Meta)跨域攻击以及解决方法
Telegram频道、Telegram群,欢迎加入频道、群组交流
Clash(Clash.Meta)跨域攻击(更详细的内容可以参考不良林的视频,介绍的非常细致),此问题针对的是客户端,提供订阅的服务器不受影响,因为没有使用Clash内核,只是单纯的提供了订阅服务。
此种问题的只要能访问到Clash(Clash.Meta或者低版本的Clash)内核的API,就可以实现攻击。最简单的比如获取节点信息、修改配置。复杂一点的控制电脑、监控电脑等等(这种高危操作一般杀软都能拦截)。
再三强调一下,Clash的端口不要对外。
修复可以参考以下内容。
一、修复
第一种,最直接的方案 升级内核,如果是原版内核直接升级为最新版本即可解决。如果使用的是Clash.Meta内核,针对不同的GUI可以进行不同的设置。如果端口不对外,推荐此方法
Clash for Windows,直接升级最新版本即可或者启用Setting中的 Random Controller Port(默认是开启的)
Clash Verge 设置->外部控制 直接修改为一个随机端口即可
第二种,终极方法给外部控制添加一个Secret,如果端口对外,推荐此方法。
Clash for Windows ->Setting->Security->Core Secret
Clash Verge 设置->外部控制 ->Core Secret
二、漏洞示例演示
访问此链接,会得到一堆IP和端口,比如下图中展示的 81.68.68.233:9090
访问 这个IP和端口,会看到 {"hello":"clash"},这样就说明出现了上方说的漏洞问题。
如果进一步操作,比如访问 http://81.68.68.233:9090/proxies ,就可以得到节点的信息(无法获取更加详细的信息)。访问 http://81.68.68.233:9090/logs 就可以看到日志。
