今天稍微研究了下另一个Clash GUI —— clash-nyanpasu
项目地址:https://github.com/libnyanpasu/clash-nyanpasu
发现它的的服务模式也存在本地提权漏洞(目前仅测试Win),但是好在作者在源码作了TODO计划,说明发现了问题。另外,clash-nyanpasu默认不开启服务模式,普通用户无需担忧
漏洞产生原因:
nyanpasu-service 在 Windows 下使用了不安全的 SecurityDescriptor 配置 D:(A;;GA;;;WD)
这个配置允许所有用户(WD=Everyone)完全访问(GA=Generic All)
脚本可以利用这一点,以普通用户权限通过 Named Pipe 直接调用特权级 API
不过这个提权会比rev要麻烦一些,但依旧可以利用
项目地址:https://github.com/libnyanpasu/clash-nyanpasu
发现它的的服务模式也存在本地提权漏洞(目前仅测试Win),但是好在作者在源码作了TODO计划,说明发现了问题。另外,clash-nyanpasu默认不开启服务模式,普通用户无需担忧
漏洞产生原因:
nyanpasu-service 在 Windows 下使用了不安全的 SecurityDescriptor 配置 D:(A;;GA;;;WD)
这个配置允许所有用户(WD=Everyone)完全访问(GA=Generic All)
脚本可以利用这一点,以普通用户权限通过 Named Pipe 直接调用特权级 API
不过这个提权会比rev要麻烦一些,但依旧可以利用
👍7
subconverter目前有任意文件读取漏洞,想用的话先把它丢在docker里运行
提示: 这个利用非常简单
https://github.com/tindy2013/subconverter/issues/845
提示: 这个利用非常简单
https://github.com/tindy2013/subconverter/issues/845
❤1
Forwarded from 今日份koipy
🔔Koipy v1.12.0 发布包
⬆️更新日志:
1. 对Clash配置文件中的节点名称长度进行限制,过长的节点名称将被截断。这一限制是为了避免绘图内存占用过多。
2. 现在bot.strictMode 严格模式有了新的行为。当设置为true时,解析的Clash配置文件中的协议将启动白名单模式,只有实际支持的协议才会读取。
3. 更新geoip脚本,解决部分显示错误问题
4. 新增miaospeed:// URI scheme,用于快速对接一个临时本地后端,直接给bot发送前缀为 miaospeed:// 的URI,它会自动解析并临时创建一个临时后端,临时后端仅在bot运行期间有效。
5. 修复inivte按钮中的一些错误
6. 现在 /checkslaves 的结果支持显示后端版本
- 往期更新内容 -
⬆️更新日志:
1. 对Clash配置文件中的节点名称长度进行限制,过长的节点名称将被截断。这一限制是为了避免绘图内存占用过多。
2. 现在bot.strictMode 严格模式有了新的行为。当设置为true时,解析的Clash配置文件中的协议将启动白名单模式,只有实际支持的协议才会读取。
3. 更新geoip脚本,解决部分显示错误问题
4. 新增miaospeed:// URI scheme,用于快速对接一个临时本地后端,直接给bot发送前缀为 miaospeed:// 的URI,它会自动解析并临时创建一个临时后端,临时后端仅在bot运行期间有效。
5. 修复inivte按钮中的一些错误
6. 现在 /checkslaves 的结果支持显示后端版本
- 往期更新内容 -
v1.12.0-dev (2025-09-23)
1. 现在选择后端显示的是真延迟
2. 修复了一些指令参数的bug
3. 现在/test 里可以选择上行测试了
4. 为了保持向后兼容,现在支持上行测试必须在后端里指定 option.apiVersion=3 ,明确版本。
对应的miaospeed后端更新内容:
miaospeed v4.6.1
1. 🎉首次迎来了对上行速度测试的支持,
2. 上行速度测试对应的 MacroType 为: uspeed ,对应的 MatrixType有:
| MatrixType | 描述 | Macro |
|-|||
| USPEED_MAX | 最大上行速度 | uspeed |
| USPEED_AVERAGE | 平均上行速度 | uspeed |
| USPEED_PER_SECOND | 每秒上行速度 | uspeed |
3. 新的命令行启动参数: -upload ,可用于在此后端服务器上启用上行速度测试
4. 上行速度测试默认是禁用的,需要在启动时加入 -upload 参数启用
5. 将mihomo升级到 v1.19.13
6. 支持vless的 encryption 特性
7. 支持 AmneziaWG v1.5 特性
8. 旧版客户端兼容性优化
9. 现在Miaospeed项目主页有了新的样式:https://github.com/AirportR/miaospeed/blob/master/README.md
v1.12.0-dev(2025-09-10) - 更新内容
⚠️ 大版本更新,含有破坏兼容性的改动
1. 实验性地开始支持上行速度测试,使用 /uspeed 指令进行体验
2. 新的后端配置,前往配置文件示例 查阅 slave.option 相关配置
3. 现在绘图结果中的页脚里,上下行线程将分开显示
GitHub
miaospeed/README.md at master · AirportR/miaospeed
Yet another server for universal connectivity debugging. - AirportR/miaospeed
转眼间做这个的测速机器人项目已经超过3年了,从最初的毛胚迭代开发到现在已经进入标准生产环境,不禁感慨颇多。下面是一些开发的杂谈:
回过头来看,其中实现最难受的是“绘图模块”,如何把测试数据汇总成一张近乎完美的图,让我花费了不少时间,直到现在,绘图模块仍是维护的一大技术债。
其次就是任务调度,以及测试配置的构造。不同的人有不同的测试需求,比如有人只想测流媒体,有些人又要单线程,或者全都要。还要改测速链接,测延迟链接等等。如何把这些自然地摆在操作界面还是不少功夫的,好在做的是Telegram bot,如果选择做桌面端,估计又要头大。
其实我还有一些想法还没来得及实现,不过我现在也没有当初刚开发时的热情了,只能闲暇之余写写了😂
⚠️提示:这个项目一般不会停更,除非TG倒闭或者个人迫不得已的原因。
🔔预告:未来可能会做一个感谢墙,感谢各位朋友的赞助以及TG测速频道的大力支持
回过头来看,其中实现最难受的是“绘图模块”,如何把测试数据汇总成一张近乎完美的图,让我花费了不少时间,直到现在,绘图模块仍是维护的一大技术债。
其次就是任务调度,以及测试配置的构造。不同的人有不同的测试需求,比如有人只想测流媒体,有些人又要单线程,或者全都要。还要改测速链接,测延迟链接等等。如何把这些自然地摆在操作界面还是不少功夫的,好在做的是Telegram bot,如果选择做桌面端,估计又要头大。
其实我还有一些想法还没来得及实现,不过我现在也没有当初刚开发时的热情了,只能闲暇之余写写了😂
⚠️提示:这个项目一般不会停更,除非TG倒闭或者个人迫不得已的原因。
🔔预告:未来可能会做一个感谢墙,感谢各位朋友的赞助以及TG测速频道的大力支持
👍9❤6✍4🔥2
广告号评分规则(最高15分)
1. 没有头像 2分
2. 名字乱写(看不出是一个正常的单词) 1分
3. UID大于8000000000 (根据时间慢慢加大阈值,预计明年就是 9开头了)1分
4. 没有共同群 3分 (特别是你加了很多不同圈子的群)
5. 经常在线,或者下线时间不足5分钟 1分
6. 没有开会员 (也有会员广告号)0.5分
7. 申请加群的列表中有多个同风格头像 1分
8. 申请加群的列表中有多个同格式的名称 1分
9. 没有简介 1 分
10. 有用户名但是用户名没有和任何元素关联,像乱写的那种(是的有用户名反而会增加可疑度) 1分
11. 个人信息页面没有背景、位置、关联频道(就是你刚创账号的白板状态) 1分
12. 没有在公开群搜索到聊天记录 0.5 分
13. 在其他公开群曾发过广告 1分
1. 没有头像 2分
2. 名字乱写(看不出是一个正常的单词) 1分
3. UID大于8000000000 (根据时间慢慢加大阈值,预计明年就是 9开头了)1分
4. 没有共同群 3分 (特别是你加了很多不同圈子的群)
5. 经常在线,或者下线时间不足5分钟 1分
6. 没有开会员 (也有会员广告号)0.5分
7. 申请加群的列表中有多个同风格头像 1分
8. 申请加群的列表中有多个同格式的名称 1分
9. 没有简介 1 分
10. 有用户名但是用户名没有和任何元素关联,像乱写的那种(是的有用户名反而会增加可疑度) 1分
11. 个人信息页面没有背景、位置、关联频道(就是你刚创账号的白板状态) 1分
12. 没有在公开群搜索到聊天记录 0.5 分
13. 在其他公开群曾发过广告 1分
🥰2💯1
现在的公开群有那种机器人账号抓取活跃发言的用户。你只要在公开群说话了,它就知道你是活跃账号,抓取用户名来做广告投放。
我账号很少在公开群发言,发言后当天就有广告号私聊了,已经不止一次了
我账号很少在公开群发言,发言后当天就有广告号私聊了,已经不止一次了
https://github.com/clash-verge-rev/clash-verge-rev/blob/dev/docs/cvd-protocol-introduction.md
收集设备指纹都来了,这种机场利益相关的软件怎么还有人在用😅
抛开AI编程不谈,甚至连这篇文章都有AI写作的影子,让人如何能信服?
收集设备指纹都来了,这种机场利益相关的软件怎么还有人在用😅
抛开AI编程不谈,甚至连这篇文章都有AI写作的影子,让人如何能信服?
GitHub
clash-verge-rev/docs/cvd-protocol-introduction.md at dev · clash-verge-rev/clash-verge-rev
A modern GUI client based on Tauri, designed to run in Windows, macOS and Linux for tailored proxy experience - clash-verge-rev/clash-verge-rev
📝Full bug的日常
https://github.com/clash-verge-rev/clash-verge-rev/blob/dev/docs/cvd-protocol-introduction.md 收集设备指纹都来了,这种机场利益相关的软件怎么还有人在用😅 抛开AI编程不谈,甚至连这篇文章都有AI写作的影子,让人如何能信服?
这个改动会生成一对 X25519 设备密钥,公钥通过请求头 X-CVD-Pub 发给订阅服务器,订阅服务器一般就是机场提供。
但是X-CVD-Pub 本质上是设备绑定 ID ,即使不是个人信息,也具备追踪属性。它可以让机场稳定识别设备,这样的行为在机场私有客户端是客观存在的。但这个软件(cvr)是开源的,夹带私货加了属于私有客户端的东西是不是有点太过分了?
一个122k star的项目没事就喜欢让用户做bug测试,连稳定启动都做不到就妄想来做行业事实标准,用AI也不是你这么个用法🤣
后续:
相关代码已经移除
😁9
📝Full bug的日常
题外话:
目前 CVD 方案的提出者是cvr项目中的 wonfen ,此人是机场利益相关方,且cvr目前已经锁定该讨论帖子。可以看出整个项目实际上已经受到机场利益相关方的影响乃至控制。
早在之前该项目将连通性测试的链接从 https 改成 http 就已经初现端倪,各位还在用cvr的还是换其他替代品用吧
目前 CVD 方案的提出者是cvr项目中的 wonfen ,此人是机场利益相关方,且cvr目前已经锁定该讨论帖子。可以看出整个项目实际上已经受到机场利益相关方的影响乃至控制。
早在之前该项目将连通性测试的链接从 https 改成 http 就已经初现端倪,各位还在用cvr的还是换其他替代品用吧
🫡6👍1