nacos到接管阿里云和百万数据泄露

                               ​免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

——鼹鼠

​

​

​1.开始

在基地教练给我们办的攻防比赛中，通过打点发现了一台nacos，经过测试之后发现可以通过弱口令进入到后台，可以查看其中的配置信息

​

关于Nacos:

Nacos是一个开源的动态服务发现、配置管理和服务管理平台，是阿里巴巴的开源项目之一。它主要提供以下功能：

1.服务发现：Nacos支持基于DNS和HTTP两种协议的服务发现，能够方便地实现动态服务的注册、发现和管理。

2.配置管理：Nacos可以实现对各种配置信息的动态管理，包括服务的配置信息、系统配置信息等。它提供了统一的API，能够方便地实现配置信息的读、写和监听。

3.服务管理：Nacos支持对服务的生命周期管理，包括健康检查、权重调节、流量路由等。可以帮助开发人员和运维人员全面掌握微服务架构下服务的运行状况和负载情况。

4.插件能力：Nacos提供丰富的插件能力，可以方便地与其他系统进行集成，比如Spring Cloud、Dubbo等。

总体来说，Nacos是一个独立的微服务架构组件，为微服务架构下的服务治理提供了全面的解决方案。它具有动态配置、服务发现、服务管理等多种功能，可以帮助企业快速构建、管理和运行微服务应用。

通过翻看配置文件，发现腾讯云的AK,SK泄露，以及数据库的账号密码。操作不就来了么，直接上云！

​

利用CF工具加上之前的AK，SK配置信息，创建腾讯云控制台账号密码，登录后直接上云！

​

关于这个cf工具，我个人认为很好用。

对于云安全，其实相对于我们这种脚本小子来说，你会用cf工具，那么你就畅通无阻，但是你必须得找到AK/SK，那么AK/SK是什么玩意呢，它其实就是云服务给你的账号密码(相当于账号密码)不过不能直接登上去，需要用cf工具做做操作

点击下方名片回复:6723

翻看腾讯云的资源信息，发现5个存储桶，这一波直接加大分

​

还可以看一下账单信息，看看购买了什么资源

​

在私有网络当中，发现里面有两个子网，不过上不去也就没办法

​

因为客户开通了短信包，同时还可接管腾讯云短信，给自己发一条看看

​

接管后发送短信，可以篡改内容

​

同时泄露数据库账号密码，接管数据库，接管数十个数据库，泄露数据高达百万

​

数据库中泄露小程序APPID和相关的KEY，可接管小程序

最后

1.Nacos是一个强大的开源平台，为微服务架构提供了全面的解决方案。

2.Nacos与阿里云的合作展示了其在云原生应用领域的实力和前景。

3.数据泄露是一个需要引起重视的问题，涉及到敏感信息的保护和安全。

4.对于任何涉及数据安全的问题，需要进行深入调查和评估，以确保用户数据的安全和隐私。

5.Nacos作为服务治理的组件之一，需要与其他系统进行集成，为用户提供更完整的应用解决方案。

综上所述，Nacos作为一个强大的开源平台，在微服务架构下扮演着重要的角色。然而，随着其在云原生应用领域的广泛应用，数据安全和隐私保护问题也变得越来越重要。因此，我们需要密切关注数据安全方面的动态和趋势，以确保用户数据的安全和隐私。

​2.

原文始发于微信公众号（天盾信安）：nacos到接管阿里云和百万数据泄露