代理检测:在线检测您是否在使用 Clash
ClashScan
(推荐使用最新 Chrome 内核浏览器) mikewang000000.github.io/ClashScan/
代码开源在 GitHub ,页面部署在 GitHub Pages 上。
Clash 是一个比较常见的代理软件,有很多衍生版本和 GUI 程序。
不过我最近才发现它是允许 CORS (跨域)的,这带来了不小的安全隐患。
再加上很多 GUI 默认不加 Secret 进行身份验证,即使运行在 127.0.0.1 ,也能被外部网站随时调用。
如果您没有修改默认配置,值得检测一次。
默认配置下容易检测的:Clash Verge / Clash Verge Rev / ClashX / ClashX Pro / ClashX Meta
默认配置下相对安全的:最新的 Clash for Windows / Clash Nyanpasu
在手机上不能用?没看见有按钮
好慢的扫描
探测 127.0.0.1 的,循环端口。。。scannedPorts++; 难怪这么慢
确实是个大问题
草,这确实有点危险了
手机端不用扫了(检测电脑端的 实际上常用端口排在最前面的,十秒内没扫到基本上是安全的。后面虽然会扫整个 65535 ,实际因为浏览器性能低,而且会漏,作用不大。只是作为理论参考。
openclash 透明代理没有检测到
透明代理等不在 127.0.0.1 上的不会检测到。本质是探测 Clash 在本机的 API 端口。
太慢了,懒得等了
这 Chrome 为啥不阻止网站访问 127.0.0.1
哦扫描本地端口啊 我代理都是在局域网的.. 电脑上啥都没装(
应该改什么配置
那怎么避免呢???如何修改默认配置?
有点吓人哦,怎么把我服务器的配置给读出来了?什么原理?
一个解决方法:使用 NoScript 浏览器扩展屏蔽网页对本地网络发起的请求
路由上跑的,检测不到
原理是默认端口,并且 API 没有上密码,就被读了。在 yaml 里面,修改下面两个配置:external-controller: '127.0.0.1:9090'secret: 'xxxxxxx'把 7890 改成随机高位端口,避免扫描; secret 改为随机密码(如果没有这个配置手动加上)。---如果被检测并读出服务器配置了,那么你之前可能一直在裸奔(
1 clash 核心默认打开外部控制功能2 clash 核心的外部控制功能就是允许跨域的(不然无法使用第三方的外部控制功能 GUI3 浏览器必然是允许第三方网站读取局域网 ip 资源的4 设置外部控制功能的密钥其实让这些软件提供个开关切换 启用 / 禁用外部控制功能 即可解决这个问题,楼主的项目正好引发了这个需求
#10 > 这 Chrome 为啥不阻止网站访问 127.0.0.1一个是本地调试很多都是在 127.0.0.1 ,另外就是向 QQ 一键登录等功能实际上也是在 127.0.0.1 上的,不过它的接口有鉴权。
不是很懂这个原理,不过我的没扫描出来。PC 本地跑 tun 模式。
clash 的 gui 你点击打开,相当于在本机运行了一个程序在 127.0.0.1 的某个端口,知道一些 clash 的内部接口,比如获取节点的,然后调用这个接口可以了。 127.0.0.1:9097/proxies 比如这个接口,就可以获取 clash 的所有代理节点
诸君,刚刚实测把外部控制端口设置为 0 ,即可解决这个问题,clash verge rev 提供的第三方 webui 也无法访问到 clash 核心的数据了代理功能依然可用,但不确定这些 gui 软件是不是也使用外部控制来控制 clash 核心的,所以把这个信息发出来让大家参与找出 [把外部控制端口设置为 0] 会不会引起其它问题
我看了目前在用的机场给 clash 下发的配置都开了这个 external-controller 还是用的默认 9090 端口没加鉴权,这么大个漏洞居然现在才发现( ╯□╰ )
#22 好吧,初始阶段没有找到后我就发表了以上回复,但是后续缓慢扫描阶段还是读取出在使用 clash ,上面那个回复当我没发😂😂
#24 原因:设置 0 端口后,clash 核心就使用随机端口作为外部控制端口了
127.0.0.1 的还好openclash 那个如果不是 127.0.0.1 的才危险
这速度也太慢了
再加个把常见网关地址都扫了
其实我觉得问题不大,上上外网又不是什么杀头的罪,真要较真,运营商那什么都能查到。
貌似原理是循环请求?因为默认配置无加密,所以请求成功了就知道用户使用了代理软件,甚至根据 api 获取完整配置信息。因为我修改了控制台的密码,所以检测不出来。但是我记得如果有密码,HTTP 的响应好像是 403 还是什么来着,而不是无响应,能不能也根据这个判断是否使用了代理类软件。。。
用手机 chrome 请求电脑版网页,能检测出来。。
是的,加了密码也能扫出来。不过浏览器扫效率太低了,您看上面有很多说慢的(另外连接数高了也会失败(漏掉)。所以加密码和高端口算是安全的。
手机版 Clash 也能读出来吗(捂脸)出乎意料了。按钮问题是主题设计的,我有空改下。
这么说本机加个防火墙是不是就好了?
所以感觉不是改 7890 端口。而是 external 相关配置咯,端口和 secret
#17 #23 是的。我 #17 写的 external-controller 默认应该是 9090 。最好 7890 和 9090 两个一起改了。浏览器一定条件下也能检测 7890 端口的情况,不过读不到东西。
感觉和好久之前提过的这个情况类似?不过看起来是没什么人重视 www.hesudu.com/t/946991
把 web 控制直接改成其他地址就行了,比如 127.0.0.2 ,关掉这个控制功能。没密钥的控制端口,来点漏洞都可以注入攻击了。
还以为是什么高端的骚操作,原来只是扫本机的 clash 的 webui 和 proxy 端口……
singbox 没扫出来.其实把常见的客户端端口 9090 9999 之类的扫一扫就行了
现在还有一个问题是 Clash Verge Rev 之类的 GUI 客户端覆写了这部分设置,secret 没有生效。你需要去 GUI 界面的设置里调整一下对应的 WebUI 设置。
- 本站曾经有人提醒过 /t/946991 ,我可能也在一些回复里提醒过2. 想跑题联动一下近期的一个热门帖 /t/1075187 ,不知道有没有哪些朋友看那个帖子 OP 和 提到的安全隐患觉得不以为然,然而在这个帖子一测试又觉得有被吓到😂
我加了 secret ,接口是 401, 也认为我使用了吗
不准,我没用 clash 也能检测成 clash
#43 是的,即使有密码,返回 401 也能检测到。请求记录里这些接口会返回 401 ,然后你访问一些其他的路径会返回 404 。通过这些接口路径特征,能推断出 Clash 及其版本号。#44 有一定的推断逻辑在里面,可能你的环境刚好命中特征了。会有误报的可能。
sing-box.sagernet.org/zh/configuration/experimental/clash-apiaccess_control_allow_origin自 sing-box 1.10.0 起允许的 CORS 来源,默认使用 。要从公共网站访问私有网络上的 Clash API ,必须在 access_control_allow_origin 中明确指定它而不是使用 。access_control_allow_private_network自 sing-box 1.10.0 起允许从私有网络访问。要从公共网站访问私有网络上的 Clash API ,必须启用 access_control_allow_private_network 。
我用的局域网当中的某台机器部署的 clash 暴露出来的 http/https/socks5 代理,然后使用 switchy omega 插件添加 socks5 proxy profile 的。没有检测到 clash
检测到了,订阅信息都出来了。
再加几个常用的路由/旁路由网关地址
是时候写个蜜罐了,看看是谁偷偷检测了 clash
我还以为能扫到我旁路由上的 clash ,结果啥都没监测到
蜜罐已经自动化利用 cfw 漏洞了...更别说扫描 clash 端口
firefox 上被 uBlock Origin 拦截了,关了 ub 之后也被 CORS 拦截了不会真有人不加密码跑在公网上吧 en.fofa.info/result?qbase64=ImV4dGVybmFsLWNvbnRyb2xsZXI6IDkwOTAi
TLDR: 如果没开管理端口 secret ,会直接扫出正在打开的网站和节点名称和地址信息开了 secret 能知道你在用,但无法获取隐私信息
被检测到了
能不能用外行也能看懂的话来描述一下,到底有什么风险?
你们说的什么外部控制端口?在哪里设置?我只知道 7890 那个。
#56 部分 clash 客户端,默认配置下(默认端口,无密码验证):1. 即使 clash 端口不暴露外部,运行在本地,外部网站也能通过网页调用,读取或者修改 clash 配置;2. 如果是老版本 clash 核心,利用这种方法,还可以配合( CVE-2023-24205 )漏洞,控制整台电脑。如果加了密码,但保持默认端口:1. 外部网站也能通过网页调用,根据不同的报错情况,推断出你在使用 clash 。================#57 好的反馈!我在 macOS Safari 上测试了一下,Safari 不允许从 https 页面上发起 http 请求。所以是检测不到的。但是如果 GitHub Pages 是 http 的,那就可以调用了。
#58 说的是 9090 的 api 端口,verge 默认是 9097 。
配置文件里设置 secret 还没用,要在设置里添加才行,订阅拉取的配置文件被软件覆盖掉了
被检测到了,要怎么搞?
打开控制台发现全被 uBlock Orign 拦截了
建议在检测页上稍微写一点技术原理,比如这个页面仅仅是通过扫描 127.0.0.1 、遍历端口号的方式查找 clash 及其衍生分支所使用的 external-controller 来确认是否正在使用 clash 。 而不是仅神秘兮兮一句”任何网站都能检测您是否正在使用 Clash 。“,这种表述只会给不明所以的吃瓜群众带来不必要恐慌。很多情况都会影响判断结果,并且也不一定会造成实际危害。比如 uBlock 之类的拦截器订阅了 Block Outsider Intrusion into LAN 之类的规则,或者干脆浏览器安全策略就直接禁止 FQDN 网站向私有 IP 发起网络请求,并且还有可能各种 GUI 面板给 external-controller 设置了随机密码等等等等实际完全没有危害的情况。
跨域不被挡吗?
算是挺恶性的漏洞了,clash-verge-rev 默认情况下不设置 secret 是没想到的,建议开个 issue 跟开发者反馈一下
#25 我改成 0 ,并且把密码设置了,貌似可以了。
扫描了一个小时 50% 虽然我不用 clash 哈
最新的 Clash for Windows ?什么时候更新了,我还在用很早的版本
把 clash api 的端口给 block 就监测不出了
还好还好
未发现 Clash,但我是用了的,而且就在 127.0.0.1:7893
测了一下,无法发现linux 环境,Clash 在 windows 里,两台物理机
这个被人讲出来有一年了吧,建议还是注明一下。不然以为又是啥大新闻
半小时了还在 70%
(还用过 op 写的抢座哈哈哈
www.hesudu.com/t/946991
感谢提醒,设了密码好了,不然点订阅节点都给我干出来了。
我记得以前某个客户端,api 甚至默认监听 0.0.0.0 ,局域网内即可直接拿到配置信息
clash-verge-rev 默认配置确实被扫到了服务器的配置,必须要在设置里手动设置外部控制器的配置才行,感谢楼主分享
还没尝试检测,看了一下 Clash X 设置,包含了这些配置项:- 代理端口:7890 、- Api 端口:9090 ,允许局域网控制(不推荐):未勾选、- Api 密钥:已设置,覆盖配置文件设置:未勾选为了安全些,是不是要修改默认端口号,更新 Api 密钥,勾选覆盖配置文件设置这些。
127.0.0.2 就扫不到了。
#38 目前这个程序是扫描'127.0.0.1',如果其他程序设置扫描'127.0.1.2'是不是还是能扫描到?
#64 原理写不写倒是无太关紧要,最好是能将解决方法维护上,方便让大家修改。
#83 可以。所以我说了《比如 127.0.0.2 》,一定要设置可以自己高位的 ip ,不在本地的 ip 。也可以自己去改源码,编译,彻底关掉这个功能。
目前看到的风险主要是钓鱼网站可以通过这个手段偷机场代理。如果 clash 被发现漏洞可以提权抓肉鸡。
这部很原始的穷举本地所有端口方式
你们都是有公网 ip 的吗
也不完全一样,做了一些加强。这次想说明,即使改成 127.0.0.1 ,加密码不改端口号,也能通过路径探测到 clash (虽然获取不到节点信息,但是能知道你在用。)当然不加密码更是直接读配置。——— 之所以能成功跨域,是因为 clash 内核的 header 设置了 Access-Control-Allow-Origin: ,相当于解除浏览器跨域限制,欢迎大家来访问。不过还有一些浏览器像 Safari 限制更严格,https 不能跨域到 http 被拦截,还有一些隐私插件会拦截,所以不是 100%保证成功。这次做的比较匆忙,是一个粗糙的 demo ,没有太大技术含量。只是为了证明 CORS 的设置不合理,应有配置能默认关闭。———网页“任何网站都能检测”是对 Access-Control-Allow-Origin: 的解释,通配符允许了所有网站。不过确实不够严谨,因为可能还会遇到其他限制。时间原因,没法做到面面俱到。网页就在 GitHub 上,如果有好的建议欢迎直接提 PR ~———对于端口扫描,正常情况下浏览器前端是没法对本地端口扫描的。Access-Control-Allow-Origin: *导致有被扫到的风险。就是这样。
这次说明的不是公网问题。而是 Clash 的 CORS 设定不合理,可以通过浏览器前端,让浏览器扫到你 127.0.0.1 上的端口,借浏览器跨域控制 clash 。
直接修改你的代理配置搞中间人攻击也很可怕吧
#90 感谢楼主。
提了个提升 128 倍速度的 PR
128 倍扫描速度的体验地址: zmaplex.github.io/ClashScan/
Clash Verge Rev 好像是默认覆盖配置文件里的 external-controller 字段的 ……?确实是个安全问题
自从 clash 爆出远程代码执行漏洞后, 就把它关在 docker 里的
卧槽。马上改。
所以这个问题应该怎么解?
最新版好像会限制访问本地网站
谢谢提醒
放:1W 台设备的话可能就有 1~3 万个 topic 在 broker 运行,一般 4H16G 的 linux 服务器撑不撑得住? 不放:只设两个 topic ,down 和…
今天 QQ 群挺热闹,来了个拳打 Vue 脚踢 React 顺手骂了一下前端所有 UI 库的大神:精简浓缩版发言:- Vue, React, Angular 都是垃圾- 所有 …
win11 家庭 23H2 版本。以前人家说 windows 是屎山代码,越做越垃圾,现在体会到了!第一,ipv6 问题。我记得 windows 在 win7 都已经支持 ip…