泄露问题整理
- 默认反代
www.speedtest.net(泄露项目地址,使其该项目网站便于采集,且有封号危险) - 默认面板弱口令
admin(未强制修改面板密码,且该密码无法修改实际负责订阅的UUID,导致无密码也可以绕过并成功获取订阅) - 默认UUID
89b3cbba-e6ac-485a-9481-976a0415eab9(无法通过管理面板修改UUID,导致修改面板密码也无法阻止获取默认订阅)
如何复现
1. 打开FOFA网络测绘网站
- 搜索TLS站点 搜索关键词:
icon_hash="-1354027319" && asn="13335" && port="443" - 搜索noTLS站点 搜索关键词:
icon_hash="-1354027319" && asn="13335" && port="80"
2. 面板弱口令
尝试访问/panel并输入弱口令admin。
- 如登录成功
- 进入下方点击Copy Sub获取订阅链接(例如 https://299.29.dns-dynamic.com/sub/d0bb3205-93bd-1de6-abc6-0b37013fa59e#BPB-Normal )
- 提取节点host和uuid备用
- host:299.29.dns-dynamic.com
- uuid:d0bb3205-93bd-1de6-abc6-0b37013fa59e
- 如登录失败
尝试访问默认订阅/sub/89b3cbba-e6ac-485a-9481-976a0415eab9- 如成功返回base64内容,则提取节点host和uuid备用
- host:299.29.dns-dynamic.net
- uuid:89b3cbba-e6ac-485a-9481-976a0415eab9
- 如成功返回base64内容,则提取节点host和uuid备用
- 如上两种方法都无法访问,则该面板暂时安全
3. 如何利用
- TLS站点利用方法
- 将host和uuid填入订阅器对应的值,
https://VLESS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid] - 例如直接订阅该链接
https://VLESS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.net&uuid=89b3cbba-e6ac-485a-9481-976a0415eab9
- 将host和uuid填入订阅器对应的值,
- noTLS站点利用方法
- 将host和uuid填入订阅器对应的值,
https://noTLS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid] - 例如直接订阅该链接
https://noTLS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.com&uuid=d0bb3205-93bd-1de6-abc6-0b37013fa59e
- 将host和uuid填入订阅器对应的值,
如何避免泄露
- 将Not found 404代码的注释双斜杠
//移除,或将www.speedtest.net修改为任意小网站(改成政企网站域名有可能会触发反诈提示)
json1 2 3 4 5 6
default: return new Response('Not found', { status: 404 }); url.hostname = 'www.speedtest.net'; url.protocol = 'https:'; request = new Request(url, request); return await fetch(request);
- 进入面板后点击Change Password修改面板密码
- 给项目自行添加UUID变量
BPB作者认为订阅泄露也不会泄露“个人信息”?!!!
https://github.com/bia-pain-bache/BPB-Worker-Panel/issues/187
BPB作者的说法问题很大,该作者认为订阅泄露也不会泄露“个人信息”?但事实上通过 Whois 可以获取你域名所有人信息,付费实名域名乃至备案域名更甚!如果不法分子使用你的域名节点去做违法行为,后果请自行想象。
声明:本站所有文章或资源,均来自互联网分享。本站不参与制作或存储,内容仅用于互联网爱好者学习和研究,如不慎侵犯了您的权利,请及时联系站长处理删除。敬请谅解!
评论(0)