泄露问题整理

  1. 默认反代www.speedtest.net(泄露项目地址,使其该项目网站便于采集,且有封号危险
  2. 默认面板弱口令admin(未强制修改面板密码,且该密码无法修改实际负责订阅的UUID,导致无密码也可以绕过并成功获取订阅)
  3. 默认UUID89b3cbba-e6ac-485a-9481-976a0415eab9(无法通过管理面板修改UUID,导致修改面板密码也无法阻止获取默认订阅)

如何复现

1. 打开FOFA网络测绘网站

  • 搜索TLS站点 搜索关键词:icon_hash="-1354027319" && asn="13335" && port="443"
  • 搜索noTLS站点 搜索关键词:icon_hash="-1354027319" && asn="13335" && port="80"

2. 面板弱口令

尝试访问/panel并输入弱口令admin

  • 登录成功
    1. 进入下方点击Copy Sub获取订阅链接(例如 https://299.29.dns-dynamic.com/sub/d0bb3205-93bd-1de6-abc6-0b37013fa59e#BPB-Normal )
    2. 提取节点host和uuid备用
      • host:299.29.dns-dynamic.com
      • uuid:d0bb3205-93bd-1de6-abc6-0b37013fa59e
  • 登录失败
    尝试访问默认订阅/sub/89b3cbba-e6ac-485a-9481-976a0415eab9

    • 如成功返回base64内容,则提取节点host和uuid备用
      • host:299.29.dns-dynamic.net
      • uuid:89b3cbba-e6ac-485a-9481-976a0415eab9
  • 如上两种方法都无法访问,则该面板暂时安全

3. 如何利用

  • TLS站点利用方法
    • hostuuid填入订阅器对应的值,https://VLESS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://VLESS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.net&uuid=89b3cbba-e6ac-485a-9481-976a0415eab9
  • noTLS站点利用方法
    • hostuuid填入订阅器对应的值,https://noTLS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://noTLS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.com&uuid=d0bb3205-93bd-1de6-abc6-0b37013fa59e

如何避免泄露

  1. Not found 404代码的注释双斜杠//移除,或将www.speedtest.net修改为任意小网站(改成政企网站域名有可能会触发反诈提示)

    json

    1
    2
    3
    4
    5
    6
    default:
        return new Response('Not found', { status: 404 });
        url.hostname = 'www.speedtest.net';
        url.protocol = 'https:';
        request = new Request(url, request);
        return await fetch(request);
  2. 进入面板后点击Change Password修改面板密码
  3. 给项目自行添加UUID变量

BPB作者认为订阅泄露也不会泄露“个人信息”?!!!

https://github.com/bia-pain-bache/BPB-Worker-Panel/issues/187
66d88fa744c09c8dc159c.png
BPB作者的说法问题很大,该作者认为订阅泄露也不会泄露“个人信息”?但事实上通过 Whois 可以获取你域名所有人信息,付费实名域名乃至备案域名更甚!如果不法分子使用你的域名节点去做违法行为,后果请自行想象。

声明:本站所有文章或资源,均来自互联网分享。本站不参与制作或存储,内容仅用于互联网爱好者学习和研究,如不慎侵犯了您的权利,请及时联系站长处理删除。敬请谅解!