一、背景
学习信安路上不免会想挖些洞,年末有空的时候就挖到一个某企业Nacos平台的老cve,整合了一下渗透过程,纪念一下。
二、Nacos认识
0x01 Nacos官方解释:
官方链接:Nacos官网 | Nacos 官方社区 | Nacos 下载 | Nacos
Nacos
/nɑ:kəʊs/
是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。
Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
Nacos 支持如下核心特性:
1)服务发现: 支持 DNS 与 RPC 服务发现,也提供原生 SDK 、OpenAPI 等多种服务注册方式和 DNS、HTTP 与 API 等多种服务发现方式。
2)服务健康监测: Nacos 提供对服务的实时的健康检查,阻止向不健康的主机或服务实例发送请求。
3)动态配置服务: Nacos 提供配置统一管理功能,能够帮助我们将配置以中心化、外部化和动态化的方式管理所有环境的应用配置和服务配置。
4)动态 DNS 服务: Nacos 支持动态 DNS 服务权重路由,能够让我们很容易地实现中间层负载均衡、更灵活的路由策略、流量控制以及数据中心内网的简单 DNS 解析服务。
5)服务及其元数据管理: Nacos 支持从微服务平台建设的视角管理数据中心的所有服务及元数据,包括管理服务的描述、生命周期、服务的静态依赖分析、服务的健康状态、服务的流量管理、路由及安全策略、服务的 SLA 以及最首要的 metrics 统计数据。
简单来说,Nacos是一款阿里开发的开源中间件,主要功能可以简要概括为:服务注册中心+配置中心+动态DNS管理,能够无缝对接Springcloud、Spring、Dubbo等流行框架。
0x02一图看懂 Nacos:
0x03 常见Nacos登录口:
0x04 常见登陆后Nacos控制台:
三、CVE-2021-29441 Nacos未授权访问漏洞挖掘
0x01 漏洞简述:
该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息,还可以进行任意操作,包括创建新用户并进行登录后操作。
0x02 影响版本:
Nacos <= 2.0.0-ALPHA.1
0x03 漏洞挖掘及复现:
方法一:空间测绘在公网寻找:
fofa:
protocol="nacos"
全都是http的,数量还是比较多的,各位师傅可以自行选择
方法二:直接随机挑选一个心仪的企业尝试扫目录,发现该企业有nacos平台(https)
首先,遇到Nacos登录口可以先尝试一下默认口令nacos/nacos,运气好就是弱口令一个。
尝试拼接nacos/v1/auth/users?pageNo=1&pageSize=1,出现敏感信息,可以推测大概率存在CVE-2021-29441。
然后进行抓包查看
转发到Repeater中,尝试在包中修改来添加用户:
- 把GET改成POST
- url中pageNo=1&pageSize=1修改为username=test1&password=test1
- User-Agent内容修改为Nacos-Server
执行后显示添加用户成功
再次查看https://xxxxxx/nacos/v1/auth/users?pageNo=1&pageSize=9,发现添加的账号成功
使用test1/test1登录成功
挖掘成功,尝试提交漏洞一下看看
四、修复建议
- 升级Nacos版本:及时关注Nacos官方发布的安全公告,并按照官方指导升级到最新版本。新版本通常会修复已知的安全漏洞,提高系统的安全性。
- 强化认证机制:建议对Nacos的认证机制进行加固,实施多因素认证或动态令牌验证等更为安全的认证方式。这样可以有效防止未经授权的用户通过漏洞非法访问Nacos服务。
参考链接:
深入解析Nacos未授权访问漏洞(CVE-2021-29441)-百度开发者中心 (baidu.com)
Alibaba Nacos权限认证绕过漏洞[CVE-2021-29441]_alibaba nacos serveridentity 权限绕过-CSDN博客