CFW最新XSS漏洞,可远程执行代码控制电脑

0x01 简介

1.CFW是什么

        使用过机场的朋友应该都听过clash_for_windows,一款便于用户可视化操作和使用的软件。

        2月23日,网友@Anthem-whisper通过github Issues向CFW作者提交了可导致远程代码执行的XSS漏洞。由于使用人数多,恶意利用该漏洞可导致被害者电脑植入木马病毒被远程控制,危害巨大。本文章用的是0.19.8版本,做简单的漏洞复现演示其危害,希望大家能赶快更新到最新版本免受被入侵。

2.漏洞产生原因:

        CFW存在交互的地方就是导入的clash配置文件,通过往clash配置文件中插入“精心构建”的js代码,当CFW导入该配置文件后,会对其进行解析处理并渲染页面,将节点列表呈现在我们面前,但是由于没有对外部导入的clash配置文件进行安全检测并将非法字符转义处理,导致那段插入的js代码被执行,于是XSS漏洞就产生了。

        虽然普通的浏览器页面存在XSS漏洞危害并不大,但通过Electron开发的CFW就不一样了,它可以直接读写电脑的文件,并且可以执行相关系统函数,导致危害性扩大。

3.影响版本

        目前低于0.19.9的理论上都有此漏洞,软件作者加急修复更新了一个版本0.19.9,但是并未完全修复漏洞,于是同一日作者又发布了最新的修复版0.19.10

0x02 复现过程

1、制作一个含有xss恶意代码的yaml

        关键代码填写在-name:xxxx 处

port: 7890
socks-port: 7891
allow-lan: true
mode: Rule
log-level: info
external-controller: :9090
proxies:
  - name: a
    type: socks5
    server: 127.0.0.1
    port: "17938"
    skip-cert-verify: true
  - name: abc
    type: socks5
    server: 127.0.0.1
    port: "8088"
    skip-cert-verify: true

proxy-groups:
  -
    name: 
    type: select
    proxies:
    - a

2、导入.yaml文件后,点击Proxies,触发弹出计算器:

CFW最新XSS漏洞,可远程执行代码控制电脑_第1张图片

3、执行恶意代码上线CS

CS-->Attack-->Web Driver-by-->Scripted Web Delivery(S) 

CFW最新XSS漏洞,可远程执行代码控制电脑_第2张图片

CFW最新XSS漏洞,可远程执行代码控制电脑_第3张图片

0x03 修复

         目前软件作者加急修复更新了一个版本,希望所有使用CFW的用户尽快升级到该版本并立即停用之前的版本,该漏洞存在于之前所有的CFW版本,考虑到CFW用户的基数,影响范围可以说是非常广了。

你可能感兴趣的:(漏洞复现,xss,前端,安全)