有师傅建议来一篇Nacos漏洞后续利用,可以帮助大家在实战过程可以更加有效的利用Nacos漏洞,之前的漏洞请参考"浅谈Nacos 漏洞之攻防两用"一文。
一、Nacos Client Yaml反序列化漏洞
现在大部分的Nacos都已经完成大版本上面的升级,所以该漏洞利用危害较小,对于其Payload也是需要盲打才可以的,并且大部分资产都是存在于内网中,所以该漏洞我们浅谈一下即可。
(1)在1.4.1版本中存在Nacos Client Yaml反序列化漏洞,我们在关注Nacos版本升级的时候都会时刻关注升级时候修复的内容,我们在1.4.2版本升级中不难发现存在一条Use SafeConstructor to parse yaml configuration的更新,这个也是Nacos Client Yaml反序列化漏洞的问题所在。
链接:https://github.com/alibaba/nacos/releases?page=2
(2)点进去查看的时候我们阅读一下这条更新说明。
https://github.com/alibaba/nacos/pull/4753
(3)发现spring cloud、dubbo和springboot用户都是不使用AbstractConfigChangeListener来监听配置更改,说明spring cloud、dubbo和springboot的用户是不受影响的,而受到影响的应该是直接使用nacs -client的用户。
(4)在实战中我们如何利用呢?其实我们可以尝试更改已有的配置为YAML进行盲打,这时候就有可能拿下nacos服务器权限。
注:喜欢研究代码的师傅可以读一下IT老涵师傅对这个漏洞的代码分析链接:https://blog.csdn.net/HBohan/article/details/120782470
六、防
那么我们如何防守攻击人员拿下Nacos的Web权限时将自身利益降到最小呢?
1、时刻关注Nacos官方,保持版本或补丁为最新;
官方链接:https://github.com/alibaba/nacos/2、在配置文件中涉及到账号信息等敏感信息采用不可逆强加密算法;
3、对核心业务进行逻辑/物理隔离,黑白名单控制;
4、实施安全设备监控;
5、对系统接口实施安全措施防护;
6、尽量不将Nacos放置在公网上。
七、总结
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示
关 注 有 礼
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
原文始发于微信公众号(渗透安全团队):浅谈Nacos漏洞之超管权限后续利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论