(有点嗯)披露vless漏洞

来源: https://x.com/yeahwu404/status/2053036333162262732

习家评语:

我的号啊,刚解封,心情极度开心(手轻拍胸部四下后扭脖子)来来来,我说那么两句,这帮炒作狗啊,你们差不多少点就得了吧。哇嘈,左一个右一个的,没完没了啦,我作为一个看者我都看累了(手戳胸口),啊?被强迫die(扯衣领),啊?死了立坟头die(手画半圆),啊?挖坟头die(手向前摆),哇嘈大凉山做假慈善die(手再次向前摆后扯衣服),啊?最近又出来两个驴马烂子打抱不平die(手向前摆两次),干哈啊老铁(抹一下胸部)?你们拍电视剧呢?我瞅你们这样是要拍电影啊(手指镜头),别炒了(手再指镜头),粉丝们都看累了,粉丝们都想休息休息了(手再再指向镜头),一打开快手全都是你们那点B事儿知道吧(手呈拿手机状后指向镜头,走路180度转弯)?还得我直播(手指镜头),八卦你们(手再指镜头),啊?说背后的真实(手再再指向镜头),妈勒个巴子die

个人点评:
有点嗯,正在看,少话

测完了,极大概率炒作狗,啥也没测出来,我和测试的结果一样

https://github.com/XTLS/Xray-core/issues/6091#issuecomment-4429110871

目前的版本誤報率確實是很低了,依照原始characteristic.txt只能檢測出target為s2n-tls網站的reality流量,如果修改characteristic.txt發送0x15的alert包也可以檢測出target為nginx時的行為差異了。

你们测吧,我有时间再测

我对VLESS-Reality-cracker的测试方案的观点

前言

VLESS-Reality-cracker的核心思路是:

如果被测试的TLS服务端是Reality服务端, 那么

重放抓包的client-hello数据包(1) 和 发送 {基于数据包(1)修改了sessionID} 的数据包

会使得随后发出的探针数据包被不同的TLS系统处理,

一个是Reality服务端的TLS系统,

一个是"偷"证书的域名所在的TLS系统.

预期的测试结果是, 探针在两轮测试中得到的返回结果会不同.

从反面讲, 如果被测试的TLS服务端是"正常"TLS服务端, 那么

探针在两轮测试中得到的返回结果会一致.

我的思考

如果一个探针能测试出来 Reality服务端与"偷"证书的域名所在的HTTPS服务端(下称target)的行为差别, 那么

搭建Reality服务端的人, 可以用这个探针测试 target, 得到结果后, 修改/配置 Reality服务端, 使得Reality服务端在面对这个探针时, 作出与 target 一致的行为.

从而避免Reality服务端被这个探针检测.

考虑到流行的TLS系统不是无穷的, 那么

针对这些TLS系统的行为设计的探针, 数量/种类 不是无穷的.

我们可以设计尽可能多的探针来覆盖尽可能多的流行TLS系统.

然后用这些探针测试你准备"偷"证书的域名(target), 将得到的结果 配置到Reality服务端.

之后, 当Reality服务端再遇到探针时, 就可以作出与target同样的行为了.

在这样的前提下, 攻击方能成功判定Reality服务端的条件是:

攻击方掌握了一个你没有提前测试过的探针, 并且这个探针在测试Reality服务端和"偷"证书的域名(target)时 行为有区别.