-
小提醒:
Clash 存在多处高危漏洞,漏洞允许攻击者完全控制用户设备并窃取敏感数据。由于漏洞的严重性,我们强烈建议用户立即停止使用 Clash,并采取其他安全的工具代替。
攻击者可以通过访问摄像头和麦克风监视用户,通过获取用户外部 IP 地址和 GPS 位置确定用户的物理位置,并通过访问联系人列表、消息记录、密码管理器和其他敏感数据大规模窃取用户隐私。
已确认该零日漏洞影响 Clash 所有已发布版本。由于 Clash 使用的 Electron 框架会将显示在网站中的 HTML 和 JS 当作可信内容运行,修复此漏洞需要重构关键组件,预计需要不短的时间。基于上述情况,我们建议:
1、立即停止使用 Clash,删除相关应用和配置文件。
2、采取安全可靠的代替方案。
3、立即更改密码和重置服务。
4、及时备份所有重要数据和系统信息,以防不测。更多相关:
流行代理软件Clash CSRF未授权配置重载致使RCE
一个使用Golang编写的,支持Shadowsocks(R)、VMess、Trojan、Snell、SOCKS5、HTTP(S)等多个代理协议的代理工具。 旨在提供一个简单轻量化的开源GUI代理客户端,编写于Swift,仅支持MacOS平台。 Clash for Windows (简称CFW,后面统一使用简称) 编写于Electron的闭源GUI代理客户端,支持Windows/MacOS/Linux多个平台。 以上是目前最流行的三款Clash系列相关的软件,Clash和ClashX源代码都是开源的,CFW是闭源的,ClashX与CFW这两个GUI工具的核心依然是前者Clash,即Clash是ClashX与CFW的上游。 Linux平台 在Linux平台上,一般都是直接用go安装CLI的Clash进行使用。 为图使用方便,参考官方文档( https://github.com/Dreamacro/clash/wiki/Running-Clash-as-a-service ),将Clash通过systemd服务来管理运行,这里不过多赘述。 试着第一次运行它,可以发现它会自动创建目录和相关配置文件。 生成的默认配置显然是不能直接使用的。一般来说主配置文件的来源可能是自己在相应的提供商上买,也可以是去网上找其他人的分享。 将其下载下来,放到指定位置,就可以使用了。 如果未将Clash配置为systemd服务,那么也可以直接命令行启动Clash。 如上便是成功启动了Clash,与此同时,Clash配置目录还产生了一个目录以及一些 provider 配置文件。 通过如下测试,能确定Clash确实是成功工作的。 macOS平台 在macOS上,一般都是使用有GUI的ClashX或CFW。以下为ClashX使用步骤,CFW的使用类似,不作过多说明。 ClashX初次运行会在~/.config/clash/ 目录产生一个名为config.yaml的主配置文件,文件内容如下。 ClashX的使用也是基于一份配置文件,同样只需将可用的主配置文件放到~/.config/clash/ 目录下,之后就可以使用了。具体步骤就是点击右上角ClashX图标,依次选择「Config」-「Remote config」-「Manage」-「Add」,将远程链接填入Url栏中即可自动下载远程的配置文件到本地。 可以观察到一个现象,将远程配置文件下载到本地的同时,还在本地创建了一个目录,该目录存放的是各种不同地区的 provider 配置文件,与在Linux上观察的现象一样。 Windows平台 Windows用户大多都是使用CFW,由于都是图形化操作,在使用上与ClashX类似,不做过多说明。 Clash一个强大的功能就是能够管理不同的多种类型的代理协议,那么可以利用这一点方便在日常渗透的时候快速切换不同IP地址。只需在配置文件中使用负载均衡模式下,将 strategy参数的值修改为 round-robin即可,参考 issue#1062 。 效果如下图所示,秒级别切换IP代理地址。 Clash For Windows是由Electron提供的。如果一个XSS有效载荷是以代理的名义,我们可以在受害者的电脑上远程执行任何JavaScript代码。 详见此issue:[Bug]: Remote Code Execution/远程代码执行 #2710 。 Windows 上的 clash_for_windows 在 0.20.12 在订阅一个恶意链接时存在远程命令执行漏洞。因为对订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。 详见此issue:[Bug]: Remote Code Execution/远程代码执行 #3891 …