声明:未曾接触过nacos,仅测试相关漏洞,除添加白名单外未修改其他配置,如有疏漏还请见谅。
简介:Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您实现动态服务发现、服务配置管理、服务及流量管理。
Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式)的服务基础设施。
1.测试环境准备
自行购买Nacos实例,等待环境创建成功后,访问相应实例,默认进入管理界面,无登录界面。
创建示例默认仅允许127.0.0.1访问,测试前需将测试客户端IP段添加至公网白名单,客户端访问相应实例的控制台地址,控制台可正常访问。
2.开始测试
控制台未找到查看账户列表的位置,通过访问相应地址查看已存在的账户(已经测试过一次,所以有两个账户,默认仅有一个nacos账户)
通过Burp构造数据包尝试创建新用户newtest,返回消息提示创建成功
再次查看已存在的账户,确认已成功创建newtest账户
尝试登录成功