Nacos提权漏洞修复

最新推荐文章于 2024-05-21 11:21:12 发布
最新推荐文章于 2024-05-21 11:21:12 发布
阅读量721 收藏 11
点赞数 21
文章标签: 网络 安全 学习 服务器 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc123489ll/article/details/138559500
版权

[漏洞详情]

Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改
secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。

Nacos 官方于 2023年3月2日发布 2.2.0.1
版本。该版本移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值,在部署新版本时必须要输入自定义的有效token.secret.key
用于登陆后的accessToken生成。

修复建议

  1. 根据官方文档修改secret.key 为随机值,并注意保密。
  2. 升级至最新版本

修复过程

Nacos版本 2.2.0

修改Nacos配置文件

在这里插入图片描述

  1. secret.key 使用随机密码生成的Base64
  2. 开启鉴权:nacos.core.auth.enabled = true
修改项目配置

在这里插入图片描述

spring:
  cloud:
    nacos:
      discovery:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848
      config:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848

注册中心和配置中心用户名密码添加

启动服务

java.lang.IllegalStateException: failed to req API:/nacos/v1/ns/instance after all servers([localhost:8848]) tried: failed to req API:localhost:8848/nacos/v1/ns/instance. code:403 msg: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Tue Nov 08 15:00:14 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div></body></html>
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:464)
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:386)
	at com.alibaba.nacos.client.naming.net.NamingProxy.deregisterService(NamingProxy.java:205)
	at com.alibaba.nacos.client.naming.NacosNamingService.deregisterInstance(NacosNamingService.java:244)



如果发现报403错误,是Nacos版本问题

在这里插入图片描述
过滤nacoa自带的client,引入新版本。

版本更新后就可以正常启动。

踩坑:

开启鉴权后,在Nacos管理端修改Nacos密码,点击提交会提示权限校验失败,但此时密码其实已经更改了。这块要注意。
接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全小张
关注
  • 21
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5438
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 服务(Service)是 Nacos 世界的一等公民。Nacos 支持几乎所有主流类型的“服务”的发现、配置和管理: Kubernetes Service gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO注册 Service
Nacos漏洞总结复现
最新发布
Innocence_0的博客
05-21 924
Nacos中发现影响Nacos
Nacos身份认证漏洞
C_0010的博客
12-09 3990
Nacos身份认证漏洞,我们竟然2022年才发现!
Nacos安全漏洞如何修复和升级
热门推荐
一个天秤座的架构师
01-18 2万+
今晚最新发布的1.4.1热修复版本已经对于User-Agent绕过安全漏洞的问题及控制台不可用的问题进行了全面的修复。对于漏洞及相关问题我不在赘述,接下来我主要讲如何进行升级加固。 一 下载最新的安装包 二 解压文件 解压文件到安装路径 tar -xvf /home/xxx/software/nacos-server-1.4.1.tar.gz -C /home/xxx/xxx/software/nacos数据库升级 执行cong路径下面...
【备忘录】修复docker环境下的nacos安全漏洞:身份认证绕过漏洞
Xcong_Zhu的博客
10-23 2271
nacos2.2.0.1和1.4.5版本之前的版本中,可能是为了便于开发环境使用,默认开启了一个自带的token默认值,导致上述报告中,可以利用默认的访问秘钥跳过认证,直接登陆。1、检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。之后讲登录返回包修改为正确登录信息。点击发送发现正确登录返回信息。同时选中base64加密。
nacos 2.2.3版本
06-29
Nacos 2.2.3版本中,重点是修复了之前版本存在的安全漏洞和性能问题,以提高系统的稳定性和安全性。 首先,让我们深入了解Nacos的核心功能: 1. **服务发现**:Nacos作为一个服务中心,可以让服务提供者注册自己...
nacos2.2.1达梦数据库
06-08
支持达梦数据库配置持久化带数据库初始化sql脚本,原nacos版本只支持mysql与derby数据库配置持久化,不支持达梦数据库配置持久化。在原有的开源nacos上进行了源码更改,解决了网上教程的一些坑,测试持久化成功后...
服务器提权利器
11-06
提权利器合集 巴西烤肉等等著名免杀 巴西烤肉等等著名免杀
Nacosnacos-2.2.3)
06-01
Nacos是阿里巴巴开源的一款分布式服务治理和配置中心的框架,主要应用于微服务架构中的服务发现、配置管理和服务管理。在2.2.3版本中,Nacos提供了更加强大和稳定的功能,支持多种应用场景。 一、服务发现 Nacos的...
wmic的历史传奇(对Windows的管理),GitHub标星50k的网络安全全栈技术知识
m0_60607971的博客
04-08 569
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
漏洞复现】Alibaba Nacos 未授权访问漏洞
Nday_Seeker
03-20 1084
Alibaba Nacos中存在未授权访问漏洞,该漏洞源于com.alibaba.nacos.core.auth.AuthFilter#doFilter在处理服务间通信时存在默认鉴权白名单,其代码在解析请求时,会判断User-Agent值,只要是以Constants.NACOS_SERVER_HEADER字符串(Nacos-Server)开头,则跳过后续的任何鉴权。攻击者可利用该漏洞发送特殊数据绕过身份认证,从而调用任何接口,获取内部数据或添加任意用户,进一步利用甚至可能执行恶意代码。
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 1504
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
crowsec
03-17 6802
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
Nacos未授权访问漏洞复现
2301_80127209的博客
04-22 417
pageNo=1&pageSize=1,我们验证了一个漏洞存在(这是个靶场,,写这个多次一举),对其进行抓包放入重放模块后,修改为post模式(一定要修改!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。了解了成因,了解了测试方法,本人为了偷懒不去抓包,就去编写脚本开始帮我吧,嘿嘿嘿。免费领取安全学习资料包!
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 109
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
Nacos未授权访问漏洞复现,2024年最新网络安全高级工程师面试题
2401_83946722的博客
04-13 534
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!(img-Jzh9TTJd-1712972311103)]访问以上地址可以获取到已有的用户名和密码,如图。抓包将GET改成POST提交,即可创建任意用户。使用创建的test1/test1 用户成功登录。以上网址是默认登录页面地址,如图。
探索 Nacos反序列化漏洞CNVD-2023-45001
修己xj的博客
04-19 510
安全是软件开发过程中的重中之重,漏洞修复安全加固工作应该得到充分重视。针对 Nacos 反序列化漏洞,我们应该及时采取措施修复漏洞,保障系统的安全稳定运行。
nacos未授权访问漏洞 修复
07-15
对于Nacos的未授权访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权的用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos的访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题或漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos安全性,并减少未授权访问漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值