type
status
date
slug
summary
tags
category
icon
password
😀
看到网上爆出 clash-verge 存在提权漏洞,简单复现下。 https://github.com/clash-verge-rev/clash-verge-rev/issues/3428

0x00 定位漏洞

已知是提权到system的漏洞,那直接看 service 相关代码就好。
clash-verge-rev/src-tauri/src/core/service.rs 可以看到33211端口有 http 服务
存在 4 个 api 接口并且没有任何鉴权机制。
/start_clash 启动Clash核心,接受POST请求,需要在请求体中提供JSON格式的配置信息,包含以下参数:
core_type: 核心类型(如"verge-mihomo") bin_path: 二进制文件路径 config_dir: 配置目录路径 config_file: 配置文件路径 log_file: 日志文件路径
一看就很有问题,文件路径是自己指定的,用powershell请求下试试
看下任务管理器,system权限的notepad进程已经启动了。
启动参数如下:
利用cmd的一些特性,可以构造如下参数执行任意命令。

0x01 进一步分析

和之前 clash 的漏洞一样,尝试使用浏览器js访问,不过不同于 clash 的api,服务的 api 受到 CORS的限制,不允许读取响应以及不允许设置Content-Type为application/json。这就导致 start_clash 这个api 不可能通过浏览器 js 利用。
💡
为啥说基本不可能利用呢,因为有些条件苛刻的方法有可能绕过CORS。 比如使用 flash,但是现在哪还有支持 flash 的浏览器,也许可以做个假的基于 flash 的登录页面来钓攻击者的鱼?
看起来这个漏洞对普通用户基本没啥危害,普通用户电脑上也没啥需要提权的低权限用户。
Systemd Miner挖矿木马分析及清理联想来酷mini pro 配置显卡直通及串流
Loading...
fatekey
fatekey
蓝队安全研究猿
公告
年轻时,你的潜力是无限的。说实在的,任何事都有可能做成。你可以成为爱因斯坦,也可以成为迪马吉奥。直到某一天,你身上的可能性消失殆尽,你没能成为爱因斯坦,你只是一个无名之辈。那真是糟糕的时刻。
🔮
所谓魔法不过是我们尚未了解的科学。
📚
潜心学习,低调发展。