环境搭建

首先拉取Nacos的docker镜像

git clone https://github.com/nacos-group/nacos-docker.git
cd nacos-docker

这里改一下example/standalone-derby.yaml

docker-compose -f example/standalone-derby.yaml up

漏洞复现

编辑config.py文件

这里我把exploit.py里面地址改成了我自己的IP

然后运行server.py

运行exp

修复建议

1. 升级nacos到最新版本（虽然无法修复漏洞，但是可以避免之前的未授权漏洞）。

2. 禁止nacos的匿名访问，开启鉴权。

3. nacos设置复杂的密码。

欢迎进入内部星球一起交流

攻防训练营

攻防训练营是高质量的网络安全领域星球，星球中有针对安全新人的优秀入门学习资料、各类攻防、CTF信息、攻防工具、技巧、书籍等各种资源，所有发布的内容均精心挑选、成体系化，让你远离无用信息及零碎的知识点。致力以手把手的模式引导广大网络安全从业者转型为安全技术人员，欢迎您的加入！！！

专属靶场

加入攻防训练营星球你能得到什么？

1. awd攻防神器（一键获取提交flag、一键植入蠕虫不死马、快速扫描工具等等）以及源码（还在更新工具中） 2. 专题更新漏洞挖掘小技巧，仿真实战靶场wp 3. 遇到任何技术问题都可以提问与交流 4. 内部专属培训课程（网络攻防，漏洞挖掘、代码审计） 5. 获得最新漏洞信息与攻防工具 6. 近距离与安全大咖接触交流与大厂面试心得 7. 漏洞poc编写技巧（goby、X-ray、nuclei） 8. 良好的团队氛围，不定期举办攻防比赛

原文始发于微信公众号（攻防训练营）：最新Nacos 漏洞复现与修复建议