BPB面板订阅信息泄露问题的研究以及规避方法

免责声明

本文档仅用于学习和教育目的,旨在帮助安全研究人员和开发者了解和防止 BPB-Worker-Panel 漏洞的利用。本博文中所包含的信息和工具仅用于合法的安全测试和研究,不得用于任何非法活动。

使用本文所提供的信息进行任何未经授权的行为均为非法行为,违反法律将导致严重的法律后果。读者在使用这些信息时,必须确保拥有合法的授权,并严格遵守所在国家和地区的法律法规。

作者不对任何因使用本文内容而导致的直接或间接损害承担责任。所有风险和责任由用户自行承担。

此外,读者必须在24小时内删除产生的内容,以确保信息不会被滥用。

泄露问题整理

  1. 默认反代www.speedtest.net(使其该项目网站便于采集)
  2. 默认面板弱口令admin(未强制修改面板密码,且该密码无法修改实际负责订阅的UUID,导致无密码也可以绕过并成功获取订阅)
  3. 默认UUID89b3cbba-e6ac-485a-9481-976a0415eab9(无法通过管理面板修改UUID,导致修改面板密码也无法阻止获取默认订阅)

如何复现

1. 打开FOFA网络测绘网站

打开任意站点

2. 面板弱口令

尝试访问/panel并输入弱口令admin

  • 登录成功

    1. 进入下方点击Copy Sub获取订阅链接(例如 https://299.29.dns-dynamic.com/sub/d0bb3205-93bd-1de6-abc6-0b37013fa59e#BPB-Normal
    2. 提取节点host和uuid备用
      • host:299.29.dns-dynamic.com
      • uuid:d0bb3205-93bd-1de6-abc6-0b37013fa59e

  • 登录失败
    尝试访问默认订阅/sub/89b3cbba-e6ac-485a-9481-976a0415eab9

    • 如成功返回base64内容,则提取节点host和uuid备用
      • host:299.29.dns-dynamic.net
      • uuid:89b3cbba-e6ac-485a-9481-976a0415eab9

  • 如上两种方法都无法访问,则该面板暂时安全

3. 如何利用

  • noTLS站点利用方法

    • hostuuid填入订阅器对应的值,https://noTLS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://noTLS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.com&uuid=d0bb3205-93bd-1de6-abc6-0b37013fa59e

  • TLS站点利用方法

    • hostuuid填入订阅器对应的值,https://VLESS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://VLESS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.net&uuid=89b3cbba-e6ac-485a-9481-976a0415eab9

如何避免泄露

  1. Not found 404代码的注释移除
    1
    2
    3
    4
    5
    6
    default:
        return new Response('Not found', { status: 404 });
        url.hostname = 'www.speedtest.net';
        url.protocol = 'https:';
        request = new Request(url, request);
        return await fetch(request);
  2. 进入面板后点击Change Password修改面板密码
  3. 给项目自行添加UUID变量

禁止转载,禁止用于非法用途