订阅转换 sub converter 这个漏洞有点厉害

2023-10-09 21:32:02 +08:00
 tediorelee
<amp-youtube data-videoid="FclVhxp1g0Y" layout="responsive" width="480" height="270"></amp-youtube>
1923 次点击
所在节点    分享发现
6 条回复
bao3
2023-10-09 22:34:58 +08:00
真的是吓出一身冷汗。。。。幸亏我的 clash 配置是自己手动写得。这类配置都是通用的,别整得太复杂了,安全第一。
hingle
2023-10-09 22:40:57 +08:00
我是自用,简单写了个 web 程序,收到 HTTP 请求会调用 subconverter -g ,读取生成的配置并返回。
Liftman
2023-10-09 22:44:30 +08:00
我感觉无所谓的,毕竟都知道利用 rce 的人了。应该不需要偷节点。即使需要,他也用不了多少。除非他批量卖出去。但是这个东西应该没什么人收吧。。。。
主要是部署转换的提供方需要注意。毕竟可能还部署了其他的服务。
tediorelee
2023-10-10 10:37:05 +08:00
@bao3 我也是自己写自己维护,不用这些转换
xausky
2023-10-10 19:19:47 +08:00
@Liftman 他这个不仅仅是偷节点,直接能拿到服务器 shell 。话说 subconverter 居然是 c++ 手撸的 http server 佩服。
Liftman
2023-10-10 19:59:44 +08:00
@xausky 我知道啊。我就做安全的。我的意思是。已经 rce 了。节点他不在乎的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/980408

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX