订阅转换 sub converter 这个漏洞有点厉害

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 410 天前的主题，其中的信息可能已经有所发展或是发生改变。

6 条回复 • 2023-10-10 19:59:44 +08:00

bao3

2023-10-09 22:34:58 +08:00

真的是吓出一身冷汗。。。。幸亏我的 clash 配置是自己手动写得。这类配置都是通用的，别整得太复杂了，安全第一。

hingle

2023-10-09 22:40:57 +08:00

我是自用，简单写了个 web 程序，收到 HTTP 请求会调用 subconverter -g ，读取生成的配置并返回。

Liftman

2023-10-09 22:44:30 +08:00

我感觉无所谓的，毕竟都知道利用 rce 的人了。应该不需要偷节点。即使需要，他也用不了多少。除非他批量卖出去。但是这个东西应该没什么人收吧。。。。
主要是部署转换的提供方需要注意。毕竟可能还部署了其他的服务。

tediorelee

2023-10-10 10:37:05 +08:00

@bao3 我也是自己写自己维护，不用这些转换

xausky

2023-10-10 19:19:47 +08:00

@Liftman 他这个不仅仅是偷节点，直接能拿到服务器 shell 。话说 subconverter 居然是 c++ 手撸的 http server 佩服。

Liftman

2023-10-10 19:59:44 +08:00

@xausky 我知道啊。我就做安全的。我的意思是。已经 rce 了。节点他不在乎的。