NacosExploitGUI

最新推荐文章于 2024-07-01 10:03:48 发布
最新推荐文章于 2024-07-01 10:03:48 发布
阅读量536 收藏 9
点赞数 9
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seoppg/article/details/135511502
版权
NacosExploitGUI_v3.4是一款集成了Nacos漏洞检测与利用的GUI工具,3.4版本优化了内存马注入的执行代码,支持常规和非常规路径扫描,包括权限绕过、批量检测和SQL注入。作者强调仅供学习研究,不承担法律责任。
摘要由CSDN通过智能技术生成

现了nacos-client yaml 的自动化检测及其利用 ,师傅们可以试试看实战场景下遇到的多不多,工具出现了特殊场景导致的误报漏报欢迎联系我进行更新 

image

NacosExploitGUI_v3.4

0x01 前言

​ 本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。

0x02 工具使用说明(3.4)

漏洞检测

漏洞检测支持非常规路径的检查,比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/nacos , 只需在目标中填入Nacos的路径即可,指纹识别功能会就去扫描三个路径(" "、"/nacos" 、"/home/nacos"),识别了Nacosasp才会开启漏洞扫描

image-20231029215438395

权限绕过漏洞利用

image-20231029220242049

批量检测

image-20231029215848898

SQL注入利用

image-20231029220058414

内存马注入

image-20231029220835477

0x03 更新

下次会优化批量扫描,多线程,添加进度条,暂停扫描,写完弱口令爆破等等

0x04 免责声明

该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。

seoppg
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
nacos漏洞检测工具-NacosExploitGUI
u013008898的博客
02-18 708
GitHub - charonlight/NacosExploitGUI: Nacos漏洞综合利用GUI工具,集成了默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用
【网络安全】Agent内存马的自动分析与查杀
qkh1234567的博客
05-20 754
以上是背景,接下来介绍我做了些什么,能够实现怎样的效果不难看出,以上内存马查杀手段都是半自动结合人工审核的方式,当检测出内存马后检测(同时支持普通内存马和Java Agent内存马的检测)分析(如何确定该类是内存马,仅根据恶意类名和注解等信息不完善)查杀(当确定内存马存在,如何自动地删除内存马并恢复正常业务逻辑)大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍关于Dump字节码经过我的一些测试,使用sa-jdi库不能保证dump。
Nacos漏洞综合利用GUI工具(完整源码+说明)(身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
03-27
【资源说明】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步! Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
Nacos综合漏洞利用GUI工具-NacosExploitGUI
siu~
10-26 1871
Nacos综合漏洞利用GUI工具,集成了默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用
探索NacosExploitGUI:一款强大的Nacos管理工具
gitblog_00047的博客
04-16 512
探索NacosExploitGUI:一款强大的Nacos管理工具 项目地址:https://gitcode.com/charonlight/NacosExploitGUI NacosExploitGUI是一个基于Python编写的图形化界面工具,专为阿里巴巴的分布式配置中心Nacos设计。该项目致力于提供一种简单、直观的方式来管理和操作Nacos服务,对于开发者和运维人员来说,无疑是一大福音。 项...
工具推荐-针对Nacos利器-NacosExploitGUI_v4.0
mashiro_hibiki的博客
04-07 396
集成Nacos的各种pocNacos控制台默认口令漏洞(nacos,nacos)Nacostoken.secret.key默认配置(QVD-2023-6271)Nacos-clientYaml反序列化漏洞Nacos Jraft Hessian反序列化漏洞(QVD-2023-13065)Nacos User-Agent权限绕过(CVE-2021-29441)Nacos Derby SQL注入漏洞(CNVD-2020-67618)可以很快的扫描出存在的漏洞批量扫描多个目标查看数据内容。
nacos漏洞小结
最新发布
qq_61475980的博客
07-01 1093
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
一款Nacos漏洞自动化工具
Websec
10-31 745
只需在目标中填入Nacos的路径即可,指纹识别功能会就去扫描三个路径(" "、"/nacos" 、"/home/nacos"),识别了Nacos才会开启漏洞扫描。​ 本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。作者不对您使用该工具所产生的任何后果负任何法律责任。下次会优化批量扫描,多线程,添加进度条,暂停扫描,写完弱口令爆破等等。漏洞检测支持非常规路径的检查,比如Nacos的路径为。
Nacos身份认证权限绕过+漏洞利用工具分享
hackzkaq的博客
12-27 2804
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 在线解密查看内容:
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
crowsec
03-17 6876
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
Nacos 漏洞利用
huangyongkang666的博客
01-03 7355
在src挖掘中碰到的漏洞,于是了解了一下该漏洞和漏洞的利用方式
6!Nacos反序列化漏洞利用工具v0.5
潇湘信安的博客
07-18 1836
刨洞安全@凉风师傅写的一个 Nacos Hessian 反序列化漏洞利用工具,目前已更新到v0.5,欢迎Star!
Nacos集群环境启动占用内存太大问题[解决]
qq_46645533的博客
01-28 2594
nacos集群配置
你的Nacos还在裸奔吗?Nacos权限绕过漏洞
码猿技术专栏
11-14 6953
大家好,我是不才陈某~目前nacos越来越广泛,大多数的企业在使用微服务架构的时候,基本上都会选择nacos作为注册中心和配置中心。那nacos其实也是阿里开源的一个项目,存在漏洞,至少难免的。那我们今天就来分享一下nacos存在的漏洞问题,主要是一些安全漏洞的问题。毕竟现在很多政务的项目,都会做等保测试这块。等保做得多了,漏洞也就多了。这不,今天就又有一个漏洞了。那就开始修复喽!!!1.naco...
【认证绕过】NACOS身份认证绕过漏洞分析
m0_61572518的博客
04-12 6693
工作中遇到一个nacos服务认证绕过的问题,在此总结一下漏洞原因。
运维安全·Web组件安全·Redis/ES/Zookeeper/Docker
不忘初心,护天下安全!
07-30 1245
一、Redis未授权访问 二、zookeeper未授权访问 zookeeper的指令集:https://blog.csdn.net/dandandeshangni/article/details/80558383 三、docker未授权访问 四、ElasticSearch、kibana未授权访问 五、Yarn未授权访问 poc: import requests target = 'http://10.1.5.168:8088/' url = target + 'ws/v
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值