V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tediorelee
V2EX  ›  分享发现

订阅转换 sub converter 这个漏洞有点厉害

  •  
  •   tediorelee · 2023-10-09 21:32:02 +08:00 · 1924 次点击
    这是一个创建于 410 天前的主题,其中的信息可能已经有所发展或是发生改变。
    6 条回复    2023-10-10 19:59:44 +08:00
    bao3
        1
    bao3  
       2023-10-09 22:34:58 +08:00
    真的是吓出一身冷汗。。。。幸亏我的 clash 配置是自己手动写得。这类配置都是通用的,别整得太复杂了,安全第一。
    hingle
        2
    hingle  
       2023-10-09 22:40:57 +08:00
    我是自用,简单写了个 web 程序,收到 HTTP 请求会调用 subconverter -g ,读取生成的配置并返回。
    Liftman
        3
    Liftman  
       2023-10-09 22:44:30 +08:00
    我感觉无所谓的,毕竟都知道利用 rce 的人了。应该不需要偷节点。即使需要,他也用不了多少。除非他批量卖出去。但是这个东西应该没什么人收吧。。。。
    主要是部署转换的提供方需要注意。毕竟可能还部署了其他的服务。
    tediorelee
        4
    tediorelee  
    OP
       2023-10-10 10:37:05 +08:00
    @bao3 我也是自己写自己维护,不用这些转换
    xausky
        5
    xausky  
       2023-10-10 19:19:47 +08:00
    @Liftman 他这个不仅仅是偷节点,直接能拿到服务器 shell 。话说 subconverter 居然是 c++ 手撸的 http server 佩服。
    Liftman
        6
    Liftman  
       2023-10-10 19:59:44 +08:00
    @xausky 我知道啊。我就做安全的。我的意思是。已经 rce 了。节点他不在乎的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2588 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:50 · PVG 12:50 · LAX 20:50 · JFK 23:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.