【高危漏洞】大量用户节点被盗！实战演示获取所有人的节点和机场订阅链接，使用在线订阅转换节点安全预警，Subconverter订阅转换工具接口泄漏配置文件token，导致RCE安全漏洞，所有版本统统中招

厉害，不良哥的视频基本每期都看，也是必给朋友推荐的一个频道

终于更新啦

我靠，你可真是太厉害了。佩服，佩服。这都属于黑盒渗透范围了，这你都会。学识真实太广泛了。

真大神，谢谢分享

订阅转换节点还是自己搭建比较好，稳定放心

不良大佬 下次来个给任意节点添加S5的住宅配置呗 有些客户端配置链式代理麻烦 直接把S5配置在VPS上全局上网

能否出一期视频讲解下reality和vision的协议说明呢？近期搭建了这样一个节点，但是只能照样子做出来，原理是一点都不懂。我试着去GG了下两个的原理，但是能获取到的信息都是偏向实用搭建，关于原理部分大多都是一笔带过。能否出一期像你以前哪些讲解的关于节点的动画详解呢？这样懂得了原理，有些东西可以让人自由发挥。也能多懂一些知识也是好的。谢谢你！

绝对的大佬

博主属于白客了吧 太牛了 叹为观止

大佬刚出视频，开发者就把漏洞修复了😂。还得靠大佬来推动

很棒得内容

我现在用你提供的clashmeta配置手动改了自己用，就是手机Meta内核那个配置。

明明一个go单文件就能解决的事，一个win离线批处理就能解决的事。github搞一大堆还要前后端。有时候信息差就是那么大。

良心之作，感谢

本地转换确实能能省去很多问题

真牛逼，第一次看实战入侵

太厉害了

能否讲解下软路由的各种配置方法呢

能不能做一个windows装docker使用openwrt的手把手教程呢，因为这样就可以最轻量化的有一个x86平台的软路由了，一些非x86平台安装梯子麻烦或者新协议不支持cpu型号，还是x86平台下的最好，虚拟机的话对windows驱动支持不好性能下降，所以如果用docker或者win下的虚拟机安装软路由

可否测评一下Cloudflare Warp+的安全性

大佬能不能出一期，tg代理的教程，别人的教程和脚本不太敢用

主播，给你发了邮件，请问tiktok直播节点买哪个好，有没有成熟些的，你出售节点吗

不转换的话，怎么在config 后边加上你的分流规则，才不会发送dns请求啊。感觉又有新问题呢

信别人不如信自己

牛逼

弄个假节点，获取到配置以后，在本地文件修改替换为自己的。

最简单的方法就是换用nekobox或者v2rayn，clash的设计多少有点反人类，更何况原作者已经删库了。

怎么才可以联系到您，想咨询很多关于TK的问题，邮件也发了，可付费。

大神可以评价一下warp海量流量vpn么？

现在还没在线vless转Clash meta配置

大佬，看过之前“手机流量不花钱”这篇，现在有一个想法。现在很多套餐都是到量限速的，这种限速能不能利用一下，就是怎样绕过限速，还可以享受免费高速流量呢

来了

沙发

果然发生了，一直是自己手写配置文件😅

林哥哥，嘤嘤嘤~

一直都不信任这种订阅转换，所以一直使用qx 来转换解析

想问下不良哥的博客是买的handsome主题吗

这下Sub Store的优势就来了

林哥你好，我是台湾的vps，按照你的方法搭建v2ray节点成功，转换成socks也能翻墙。但是我登陆fb显示我的登陆设备windows在上海？这个是什么回事？谢谢

我觉得看你视频的都是自己搭梯子的人占绝大多数。反正我已经3年没有用机场了

不良大佬，视频最后那个文档里还有一个/readconf?token=password 这个接口是干嘛的？也是用来触发执行缓存的吗？

大佬什么时候出系统讲解软路由的教程

大佬有TG群组吗？

自己租个vps，自己搭个梯子最安全

所以，使用機場服務訂閲能不轉換的盡量不轉換，對於無法信任機場訂閲服務的自强就是了。

大佬 能维护一下nodesCatch不？无法测速了

所以有没有人顺便拿了肥羊的后端出来😂

❤❤❤❤

球球了，大佬，给我们出软路由教程吧。来个小白保姆级编译openwrt的教程。再教配置

订阅转换我自己就有搞自制的，但是用起来真的一言难尽，缓存我是关掉的因为不关的话有时候我调了新的配置文件但是运行他直接调用缓存就不用新的文件重新运行，要去缓存目录哪里删除才行，我一般是打开服务然后挂在后台然后能让clash自动定时更新，手机也有用相同的地址只要是局域网就能更新，但是用久了会回环，cmd哪里疯狂跑命令在不断获取分流规则，但是不影响你更新规则，但有时候严重了就直接更新不了订阅了，只能重启服务，真的麻烦

觉得奇怪,到现在还没有一款本地离线转换链接程序,难道订阅转换成配置非常难?

能不能请教一个非常小白的问题就是，这个订阅转换是什么意思？我自己租的VPS搭梯子会受这个漏洞影响吗？

为啥我每次早上或者一天很久没用的时候 必须手动进去后台测速一下才能连通节点啊 有设置定时测速 有人知道吗

❤

Office 套件，就可以编程公式宏，直接输出订阅转换。一劳永逸，祝各位安全顺利。

好家伙！VPS都不保！

除了自己本地转换，其他的都不可靠

手搓最安全

还好这么多年一直用surgio来转换订阅配置，从来不用这种subconverter的

Windows 一直用的那个本地订阅转换。 但是不丰富。 Openwrt openclass 那个订阅有问题吗。

直接把节点uuid改了，转换完再手动改正

理论上这种转换只用前端就能做啊，为什么非要有个后端？不就是字符串拼来拼去吗

如果sub 是在本地转换 会不会被盗

我选择不使用Clash.配置麻烦不说还各种漏洞

大佬，你好。我的是VPS用docker+nginx搭的后端，版本是subconverter v0.7.2-a7e441a backend，没有搭前端，接口只有自己用，请问应该如何预防风险？

本着不信任任何人的心态，我用订阅转换前，会在本地记事本中把uuid修改一下，然后转换，转换后再改回正确的。

用r2ray是不是没问题了

一直用的自建转换，就怕这个

😂😂😂 我的盲不了 前面还有一个php 调用后端

本地转换提示出错了？大佬是为什么

那怎么自己转换呢？？？

docker版也是0.7.2

我是自己搭的节点，在使用这类订阅转换时转为clash的yaml，特意写错几个uuid字符和密码，域名之类，下载回来后再手动改为正确的，不知是否可以避免被盗节点的情况，不良大佬帮忙分析下，谢谢

这是高手

没关系，我都是白嫖

博主打开了一个新的篇章：渗透

浏览器隐私模式打开第三方转换地址，断网，转换，复制粘贴到记事本，关闭浏览器隐私窗口，联网，搞定~！

那么问题来了，worker本身就是一个serverless服务，那为啥不直接用worker搭建自己的订阅转换服务呢？

我一直都是手搓的clash配置文件😂😂😂😂 这玩意儿还能转换啊

虽然一直都是在白嫖机场的节点，但是还是在这里点个赞再走。

本地订阅转换手机不能使用该怎么办呢？

麻烦查收下邮件

机场订阅为什么要转换，觉得机场的配置不好，手搓就好了，自建节点的话也用手搓配置不就行了，本人从不用订阅转换。

做靠谱的做法就是不用Clash这种需要转换的奇葩工具。

所以clash什么时候才能自己添加配置信息

我第一次见到搭建订阅转换就知道这玩意生出来就是为了肉鸡

上传的那个txt，里面写的是什么？怎么会对方链接你就拿到了root权限？

我曾经把我购买的机场clash的订阅链接，借给过陌生网友用，后来我又刷新了链接，不知道会不会被盗。

这个漏洞也太离谱了

这个bug太恶意了，写的时候根本没有安全意识

河南地区，中国移动，联通，vps直连80端口可以访问,访问套了cf的节点不能用，始终都是-1，使用ping命令ping优选ip可以ping通，vps的ip也能ping通，但就是不能用。一旦出了河南，移动，联通又都可以用了，河南是不是出了什么新的拦截方式？

还好，我基本不用转换

class还是漏洞多

password那个我绷不住了，真有设置弱口令的啊

一直不太懂为什么 Clash要使用特有的订阅链接格式，如果能兼容 v2ray订阅链接，那就不需要转换，也就不存在被盗用的问题了。🤨

不看不知道，一看吓一跳，subconverter 居然是 c++ 写了，给用 c++ 手撸 http server 的大佬跪了。

我说怎么我自建了订阅，redis缓存中的有定时执行脚本，来执行she’ll，后来直接停掉服务就好了

很欣赏博主的视频内容 是否有意向合作呢 可以留下联系方式呢

确实666

用的dokcer后端，是不是很稳。