BPB-Worker-Panel 面板 严重信息泄露漏洞曝光!订阅信息轻松泄露,教你如何防范!

免责声明

本文档仅用于学习和教育目的,旨在帮助安全研究人员和开发者了解和防止 BPB-Worker-Panel 漏洞的利用。本博文中所包含的信息和工具仅用于合法的安全测试和研究,不得用于任何非法活动。

使用本文所提供的信息进行任何未经授权的行为均为非法行为,违反法律将导致严重的法律后果。读者在使用这些信息时,必须确保拥有合法的授权,并严格遵守所在国家和地区的法律法规。

作者不对任何因使用本文内容而导致的直接或间接损害承担责任。所有风险和责任由用户自行承担。

此外,读者必须在24小时内删除产生的内容,以确保信息不会被滥用。

泄露问题整理

  1. 默认反代www.speedtest.net(泄露项目地址,使其该项目网站便于采集,且有封号危险
  2. 默认面板弱口令admin(未强制修改面板密码,且该密码无法修改实际负责订阅的UUID,导致无密码也可以绕过并成功获取订阅)
  3. 默认UUID89b3cbba-e6ac-485a-9481-976a0415eab9(无法通过管理面板修改UUID,导致修改面板密码也无法阻止获取默认订阅)

如何复现

1. 打开FOFA网络测绘网站

  • 搜索TLS站点 搜索关键词:icon_hash="-1354027319" && asn="13335" && port="443"
  • 搜索noTLS站点 搜索关键词:icon_hash="-1354027319" && asn="13335" && port="80"

2. 面板弱口令

尝试访问/panel并输入弱口令admin

  • 登录成功

    1. 进入下方点击Copy Sub获取订阅链接(例如 https://299.29.dns-dynamic.com/sub/d0bb3205-93bd-1de6-abc6-0b37013fa59e#BPB-Normal
    2. 提取节点host和uuid备用
      • host:299.29.dns-dynamic.com
      • uuid:d0bb3205-93bd-1de6-abc6-0b37013fa59e

  • 登录失败
    尝试访问默认订阅/sub/89b3cbba-e6ac-485a-9481-976a0415eab9

    • 如成功返回base64内容,则提取节点host和uuid备用
      • host:299.29.dns-dynamic.net
      • uuid:89b3cbba-e6ac-485a-9481-976a0415eab9

  • 如上两种方法都无法访问,则该面板暂时安全

3. 如何利用

  • TLS站点利用方法

    • hostuuid填入订阅器对应的值,https://VLESS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://VLESS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.net&uuid=89b3cbba-e6ac-485a-9481-976a0415eab9

  • noTLS站点利用方法

    • hostuuid填入订阅器对应的值,https://noTLS.fxxk.dedyn.io/sub?host=[BPB的host]&uuid=[BPB的uuid]
    • 例如直接订阅该链接https://noTLS.fxxk.dedyn.io/sub?host=299.29.dns-dynamic.com&uuid=d0bb3205-93bd-1de6-abc6-0b37013fa59e

如何避免泄露

  1. Not found 404代码的注释双斜杠//移除,或将www.speedtest.net修改为任意小网站(改成政企网站域名有可能会触发反诈提示)
    1
    2
    3
    4
    5
    6
    default:
        return new Response('Not found', { status: 404 });
        url.hostname = 'www.speedtest.net';
        url.protocol = 'https:';
        request = new Request(url, request);
        return await fetch(request);
  2. 进入面板后点击Change Password修改面板密码
  3. 给项目自行添加UUID变量

BPB作者认为订阅泄露也不会泄露“个人信息”?!!!

https://github.com/bia-pain-bache/BPB-Worker-Panel/issues/187
66d88fa744c09c8dc159c.png
BPB作者的说法问题很大,该作者认为订阅泄露也不会泄露“个人信息”?但事实上通过 Whois 可以获取你域名所有人信息,付费实名域名乃至备案域名更甚!如果不法分子使用你的域名节点去做违法行为,后果请自行想象。

禁止转载,禁止用于非法用途