【漏洞复现】Nacos 控制台默认口令漏洞

最新推荐文章于 2025-07-09 09:42:29 发布
最新推荐文章于 2025-07-09 09:42:29 发布
阅读量1.3k 收藏
点赞数 5
CC 4.0 BY-SA版权
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/138268457
【漏洞复现】 专栏收录该内容
150 篇文章

已下架不支持订阅

本文详细介绍了Nacos控制台存在的默认口令漏洞,该漏洞可能导致未授权访问。通过搜索语法Fofa-Query: ip.port=='8848' and title=='HTTP Status 404 – Not Found'可以定位到问题,受影响的是Nacos的特定版本。文中还包含了漏洞的POC和复现过程。

漏洞描述:

Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。

搜索语法:

Fofa-Query: ip.port=="8848" and title=="HTTP Status 404 – Not Found"

漏洞详情:

1.Nacos服务系统。

2.漏洞POC:

POST /nacos/v1/auth/users/login HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0
Host: {
  
  {Hostname}}
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-type: application/x-www-form-urlencoded
Content-Leng
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

Alibaba Nacos存在默认口令漏洞
nnn2188185的博客
03-18 2853
Nacos是阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。
nacos系列漏洞复现总结
热门推荐
渗透之路,攻防之间皆学问
09-05 1万+
Nacos支持两种启动模式:单机模式和集群模式。
漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271
OneMoreThink
03-09 9786
原理危害攻击资产发现漏洞利用防御1、原理NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。在<=2.2.0、<=1.4.4的版本中,NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey01...
Nacos漏洞总结复现
heike_Ch的博客
04-23 1959
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
SexyBeast233#SecBooks#Alibaba Nacos 控制台默认口令1
07-25
Alibaba Nacos 控制台默认口令漏洞描述Alibaba Nacos 控制台存在默认口令 nacos/nacos,可登录后台查看敏感信息漏洞影响漏洞
nacos漏洞汇总
潇逗
06-27 4573
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos默认密码nacos nacos
nacos历史漏洞
m0_60767986的博客
06-16 697
nacos 在执行身份验证和授权操作时确定请求的用户代理是否为“Nacos-Server”时,由于简单的配置,通过利用此未经授权的漏洞,攻击者直接执行nacos的相关api接口进行漏洞利用。代码只限制了需要包含select,因此,导致可以执行任意的select查询语句。在nacos中accesstoken的生成是通过jwt的字符串创建的。此时,也可根据用户名,测试一下密码与用户名相同,进行测试。nacos存在默认的账号密码nacos/nacos。此代码,可直接修改ico账号的密码为ico。
上心师傅的思路分享(三)--Nacos渗透
记录开发和安全学习过程中的点点滴滴
06-10 2969
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
liuhyusb的博客
09-15 2183
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1647
JDK安装2023最完整教程与配置(零基础)
nacos漏洞小结
qq_61475980的博客
07-01 7246
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
实战攻防之Nacos漏洞
最新发布
bdfcfff77fa的博客
07-09 1277
Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,由阿里巴巴开源。它致力于帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos支持几乎所有主流类型的服务发现、配置和管理,包括Kubernetes Service、gRPC & Dubbo RPC Service、Spring Cloud RESTful Service等。通过Nacos,您可以轻松构建、交付和管理微服务平台,实现服务的动态发现、配置和治理。Nacos 开放的端口。
Nacos漏洞合集
weixin_44192686的博客
04-01 1682
Nacos 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。Nacos 致力于帮助用户发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,能够快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos 可以更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
Nacos
weixin_53085985的博客
03-27 1503
nacos笔记
Nacos 1.2.1 Nacos 服务,修改默认端口
YHJ
05-29 1万+
一、场景描述   在常规的项目开发过程中,特别是生产环境的部署,都会尽量避免使用敏感的端口。在本次测试过程中,将Nacos-server-1.2.1的默认端口8848修改为8858,Nacos可以正常访问,项目成功注册。 二、配置步骤 修改nacos-server-1.2.1文件夹下的conf下的application.properties的端口配置为8858 以startup.cmd的方式启动nacos-server-1.2.1 ...
# 实战攻防之Nacos漏洞(非常详细)从零基础到精通,收藏这篇就够了!
Javachichi的博客
06-28 2832
实战nacos漏洞复现记录一下,大佬勿喷。如果,有不对的可以指正一下,一起学习。Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台,由阿里巴巴开源。它致力于帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos支持几乎所有主流类型的服务发现、配置和管理,包括Kubernetes Service、gRPC & Dubbo RPC Service、Spring Cloud RESTful Service等。
Nacos 控制台如何进入
05-31
进入 Nacos 控制台的步骤如下: 1. 首先确保你已经启动了 Nacos 服务。 2. 在浏览器中输入 `http://<Nacos IP 地址>:<Nacos 端口号>/nacos`,然后按下回车键。 例如,如果你的 Nacos IP 地址是 `127.0.0.1`,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值