Alibaba Nacos存在默认弱口令漏洞

已于 2023-04-19 23:03:50 修改
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 漏洞复现 文章标签: 安全 网络 web安全
于 2023-03-18 21:56:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nnn2188185/article/details/129643053
版权
本文介绍了Alibaba Nacos存在的默认弱口令漏洞,允许攻击者使用默认凭据nacos/nacos登录系统获取敏感信息。受影响的版本包括1.2.1、1.3.2和1.4.0。建议用户及时更新至最新版本并设置强口令。
摘要由CSDN通过智能技术生成

文章目录

Alibaba Nacos存在默认弱口令漏洞

1.Alibaba Nacos简介

微信公众号搜索:南风漏洞复现文库
南风网络安全公众号首发

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

2.漏洞描述

Nacos是阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。

3.影响版本

Alibaba Nacos 1.2.1
Alibaba Nacos 1.3.2
Alibaba Nacos 1.4.0

4.fofa查询语句

app=“NACOS”

5.漏洞复

了解本专栏 订阅专栏 解锁全文 超级会员免费看
sublime88
关注
专栏目录
订阅专栏
漏洞复现】Nacos 控制台默认口令漏洞
晚风不及你
04-28 734
Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。
【poc整合】Nacos漏洞整理(上)——弱口令、未授权访问、JWT利用、未授权添加用户、身份验证绕过、derby SQL注入(漏洞更新截止2024.9.12)
m0_62783065的博客
09-13 448
【poc整合】Nacos漏洞整理(上)——弱口令、未授权访问、JWT利用、未授权添加用户、身份验证绕过、derby SQL注入(漏洞更新截止2024.9.12)
SexyBeast233#SecBooks#Alibaba Nacos 控制台默认弱口令1
07-25
Alibaba Nacos 控制台默认弱口令漏洞描述Alibaba Nacos 控制台存在默认弱口令 nacos/nacos,可登录后台查看敏感信息漏洞影响漏洞
Nacos 存在弱口令的风险
weixin_42594419的博客
12-19 1061
是的,Nacos 可能存在弱口令的风险。弱口令是指使用简单、常用或者易猜测的密码,这些密码很容易被暴力破解或者其他方式破译。因此,使用 Nacos 时应该注意避免使用弱口令。应该使用复杂、不常用且难以猜测的密码,以减少被攻击的风险。此外,还应该定期更换密码,并且在使用 Nacos 时应该注意保护好自己的账户安全。 ...
edusrc系列(二):Nacos弱口令到任意用户信息修改
weixin_67488888的博客
09-13 1285
Nacos 是阿里巴巴推出来的一个新开源项目,这是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。但就是这样一个为我们带来方便的系统,也避免不了存在安全问题。xxx学院某域名下搭建了该系统,并且存在相关安全问题。弱口令为:nacos/nacos。http://media.xxx.edu.cn:8888/nacos 是会跳转的。方式提交,增加相应请求体字段,成功添加用户。
nacos漏洞汇总
潇逗
06-27 2263
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos默认密码nacos nacos
十二、弱口令漏洞
weixin_46849264的博客
03-24 527
弱口令是比较经典安全漏洞之一,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解,造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。
基于阿里巴巴Nacos的Java分布式服务注册与配置中心设计源码
最新发布
10-04
本项目为基于阿里巴巴Nacos的Java分布式服务注册与配置中心设计源码,总文件数为2836个,涵盖2281个Java源文件、180个JavaScript文件、53个XML配置文件、37个SCSS样式文件、22个PEM证书文件、21个属性文件、18个...
阿里巴巴nacos-server-1.2.1 Windows版Linux版打包下载
05-05
Nacos,全称为“Naming and Config”,是阿里巴巴开源的一款分布式服务治理框架,它主要提供了服务发现、配置管理和元数据管理等功能。Nacos 是基于 Java 开发的,支持跨平台运行,包括Windows和Linux等操作系统。在...
Nacos漏洞总结复现
heike_Ch的博客
04-23 1443
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271
OneMoreThink
03-09 5374
原理危害攻击资产发现漏洞利用防御1、原理NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。在<=2.2.0、<=1.4.4的版本中,NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey01...
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 2901
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
nacos漏洞小结
qq_61475980的博客
07-01 3771
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
[ vulhub漏洞复现篇 ] 阿里巴巴Nacos身份验证绕过(nacos未授权)(CVE-2021-29441)
qq_51577576的博客
11-27 1455
[ vulhub漏洞复现篇 ] 阿里巴巴Nacos身份验证绕过(nacos未授权)(CVE-2021-29441) 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。并且利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
yy1715713348的博客
08-12 1049
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
nacos —— 控制台默认用户名密码
热门推荐
贱男
02-04 5万+
一、引言 最近疫情比较严重,小伙伴就老老实实呆在家办公吧~~ 新的一年小编近几个月比较忙,所以博客更新的比较慢,但是工作还是得继续呀。 新年的第一篇博客,新年快乐、新年快乐、新年快乐。 二、默认密码 新的一年第一个礼拜小编在家办公,接触了一个新的项目,其中所使用的注册中心是阿里巴巴开源的Nacos。 把Nacos服务启动之后,服务也相对注册上了,访问Nacos的后台直接弹出个登陆页面 ...
Alibaba Nacos JWT令牌使用默认密钥浅析
lwwzyy
03-18 6485
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值