0-day预警-NACOS RCE-0day漏洞复现

于 2024-07-15 19:47:57 发布
阅读量192 收藏 1
点赞数 5
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Success696/article/details/140446838
版权

Github地址:
https://github.com/ayoundzw/nacos-poc

漏洞复现:
fofa语法: icon_hash=“13942501”
ZoomEye语句:app:“Alibaba Nacos”
在这里插入图片描述
本地复现
下载nacos版本,项目地址

https://github.com/alibaba/nacos/releases/download/2.3.2/nacos-server-2.3.2.zip

解压完后,

startup.cmd -m standalone

启动nacos 。
在这里插入图片描述

配置config.py中的ip和端口,执行service.py
config.py:在这里插入图片描述

执行exploit.py,输入地址和命令即可执行。
在这里插入图片描述

Xiao3jin
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NACOS漏洞问题及修复(CVE-2021-29441)
Hoopy_Hoopy的博客
09-14 1万+
目录 1.漏洞相关问题 2.场景复现 2.1访问用户列表界面 2.2添加新用户 2.3再次查看用户列表 3.nacos升级 4.代码升级 1.漏洞相关问题 漏洞相关地址 CVE-2021-29441 - Nacos is a platform designed for dynamic service discovery and configuration and service management. - CVE-Searchhttps://cve.circl.lu/cve/CVE-20
漏洞复现 - - - Alibaba Nacos权限认证绕过
weixin_67503304的博客
08-03 4828
Alibaba Nacos权限认证绕过Max HackBar方式进行POST传参,简单易懂,操作方便。
Nacos系统历史CVE漏洞复现分析与检测
道阻且长,行则将至。
02-07 2493
本文复现、分析、总结了 Nacos 近几年的历史 CVE 漏洞,可以看到大厂发布的开源系统并非“坚不可摧”,很多看似“合理”的业务需求会成为漏洞的发源地。作为开发或运维人员,在引入开源组件或系统到自身业务系统的时候,应该持续关注其是否爆出安全漏洞,并及时升级版本、修复漏洞
spring-cloud-starter-alibaba-nacos-config 启动配置管理
不懂一休
04-07 1万+
nacos spring-cloud 参考地址: https://nacos.io/zh-cn/docs/quick-start-spring-cloud.html Spring Cloud Alibaba Nacos Config 参考地址:https://github.com/alibaba/spring-cloud-alibaba/wiki/Nacos-config 版本对应说明: https://github.com/alibaba/spring-cloud-alibaba/wiki/版本说明 说明
子项目pom.xml中spring-cloud-starter-alibaba-nacos-discovery标红
Tiger_CK007的博客
11-09 2561
项目场景: 子项目中spring-cloud-starter-alibaba-nacos-discovery无法引入 问题描述: 子项目pom.xml中spring-cloud-starter-alibaba-nacos-discovery无法引入,artifactId标红 <dependencies> <dependency> <groupId>com.alibaba.cloud</groupId> <arti
spring-cloud-starter-alibaba-nacos-discovery 启动服务发现
热门推荐
不懂一休
04-08 1万+
Springcloud的RestTemplate 使用服务名报异常 java.net.UnknownHostException 添加 @LoadBalanced 注解 @Configuration public class RestTemplateConfig { @LoadBalanced @Bean public RestTemplate restTemplate() { return new RestTemplate(); } } Respo
docker-compose部署单机nacos
weixin_39810091的博客
02-09 8481
docker-compose.yml nacos: image: nacos/nacos-server:latest container_name: nacos environment: - PREFER_HOST_MODE=ip - MODE=standalone - SPRING_DATASOURCE_PLATFORM=mysql - MYSQL_SERVICE_HOST=byt-mysql - MYSQL_SERVIC
dubbo-spring-boot-starter+Nacos整合 例子
lwb314的专栏
08-26 3979
spring-boot-starter+Dubbo+Nacos整合 例子前言注意事项代码依赖pom.xml服务提供者代码-provider服务消费者代码-consumer 前言 我一共搭建了3个环境。 整体入口: https://blog.csdn.net/lwb314/article/details/108222433 注意事项 这里先说几点我觉得需要注意得地方,然后再贴代码 dubbo-spring-boot-starter这个出现过多个不同版本,你可以在maven仓库里找到好多名字是dubbo-sp
nacos未授权-CVE-2021-29441复现
crowsec
07-21 7594
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单。。。...
记录使用spring-cloud-starter-alibaba-nacos-config遇到的问题(nacos 2.1)【2022.06】
清淡看朝霞的博客
06-24 2984
使用nacos作为配置中心,字段没有被负值 @Value报错 GrpcClient报错 字段刷新localhost:8848 登陆成功后左上角显示 nacos 版本,此处以2.1为例 docker命令,注意docker宿主机此处端口必须是 1000 的偏移量 2. 修改pom文件依赖 说明:由于 加载nacos的configuration优先级很高,application.yml满足不了,必须使用bootstrap.yml来配置访问nacos服务端的配置信息bootstrap.yml ext-confi
nacos配置中心nacos-server-2.2.3
08-16
在这个“nacos-server-2.2.3”压缩包中,包含了运行Nacos配置中心所需的所有文件,这使得用户可以在中国大陆地区避免由于GitHub访问问题导致的下载困难。 Nacos的核心功能之一是配置中心,它允许开发者集中管理和推...
最新nacos-server-2.2.0下载
12-29
总结来说,Nacos-server-2.2.0版本作为一款强大的服务治理工具,不仅提供了完善的服务发现和配置管理功能,还在性能、稳定性、用户体验上进行了显著提升,对于Windows用户来说,安装和使用也更为简便。无论是微服务...
xxl-job2.3.0集成nacos配置,注册中心
05-11
xxl-job2.3.0任务调度中心集成nacos配置,注册中心,xxl-job是一款开源的分布式任务调度框架
nacos-sdk-python:Nacos Python SDK
05-08
nacos-sdk-python Nacos OpenAPI的Python实现。 参见: :支持的Python版本: Python 2.7 Python 3.6 Python 3.7支持的Nacos版本Nacos 0.8.0〜1.3.2安装pip install nacos-sdk-python入门import nacos# Both ...
nacos-server-2.1.1.
08-12
Nacos是阿里巴巴开源的一款分布式服务治理和配置中心的框架,主要应用于微服务架构中的服务发现、配置管理和服务管理。在2.1.1版本中,它提供了更多优化和新特性,使得开发者能够更加便捷地管理和维护分布式系统。...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8333
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
云WAF | 云waf保护你的网络安全
weixin_62641226的博客
07-11 397
云waf是一种灵活而有效的网络安全手段,可以有效地提高网络的安全性能。灵活、可扩展:云计算中的 WAF是以云计算的方式提供的,具有灵活、可伸缩的特点,可以根据实际需要对防护性能进行动态调整。易于部署:云 WAF相对于传统的硬件防火墙,在不增加硬件配置及网络配置的情况下,部署起来更方便、更灵活。实时的威胁信息:云端 WAF能够及时地对各种新型的网络攻击手段做出反应,并能及时地响应当前的威胁信息。自动化程度高:云计算 WAF具有自动分析海量资料的能力,并且能够为您的应用提供最好的防护措施。
医疗器械网络安全 | 漏洞扫描、渗透测试没有发现问题,是否说明我的设备是安全的?
网 安 云
07-10 668
尽管漏洞扫描、模糊测试和渗透测试在评估系统安全性方面是非常重要和有效的工具,但即使这些测试没有发现任何问题,也不能完全保证您的医疗器械是绝对安全的。网安云,目针对医疗器械海外国内注册、变更推出网络安全解决方案,专业安全专家与法规研究团队对国内、美国、欧盟等国家医疗器械注册网络安全要求进行深入钻研,为客户定制化网络安全方案,帮助客户为设备注册、上市出具符合法规要求的网络安全文件。综上所述,虽然漏洞扫描、模糊测试和渗透测试是评估医疗器械安全性的重要手段,但它们并不能完全保证系统的安全。医疗器械网络安全顾问。
等保测评助力网络安全治理现代化
最新发布
waitaikong_的博客
07-14 190
等保测评,即信息安全等级保护测评,是依据国家相关法律法规和标准,对信息系统进行安全等级划分和安全性能评估的过程。它涵盖了从技术到管理、从人员到流程的多维度评估,旨在确保信息系统在面对各种威胁时的安全性和可靠性。随着网络技术的发展和网络安全形势的变化,等保测评在网络安全治理现代化中扮演着越来越重要的角色。
spring-cloud-start-alibaba-nacos-discovery
09-11
"spring-cloud-start-alibaba-nacos-discovery"是Spring Cloud Alibaba提供的一个组件,用于实现基于Nacos作为注册中心的服务的注册与发现。你可以在Maven依赖中添加以下代码来引入该组件: ``` <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> </dependency> ``` 这个组件可以帮助你更方便地构建云原生应用,并提供了动态服务发现和配置管理的功能。如果你想了解更多关于该组件的信息,你可以查看Nacos的官方文档以及Spring Cloud Alibaba的官方文档和示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值