订阅转换 sub converter 这个漏洞有点厉害

262 天前

tediorelee

<amp-youtube data-videoid="FclVhxp1g0Y" layout="responsive" width="480" height="270"></amp-youtube>

1727 次点击

所在节点

6 条回复

bao3

262 天前

真的是吓出一身冷汗。。。。幸亏我的 clash 配置是自己手动写得。这类配置都是通用的，别整得太复杂了，安全第一。

hingle

262 天前

我是自用，简单写了个 web 程序，收到 HTTP 请求会调用 subconverter -g ，读取生成的配置并返回。

Liftman

262 天前

我感觉无所谓的，毕竟都知道利用 rce 的人了。应该不需要偷节点。即使需要，他也用不了多少。除非他批量卖出去。但是这个东西应该没什么人收吧。。。。
主要是部署转换的提供方需要注意。毕竟可能还部署了其他的服务。

tediorelee

261 天前

@bao3 我也是自己写自己维护，不用这些转换

xausky

261 天前

@Liftman 他这个不仅仅是偷节点，直接能拿到服务器 shell 。话说 subconverter 居然是 c++ 手撸的 http server 佩服。

Liftman

261 天前

@xausky 我知道啊。我就做安全的。我的意思是。已经 rce 了。节点他不在乎的。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.