一、漏洞描述  

NACOS是 一个开源的服务发现、配置管理和服务治理平台，属于阿里巴巴的一款开源产品。

Nacos 更敏捷和容易地构建、交付和管理微服务平台。Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

该系统存在远程命令执行漏洞，EXP已经在网上公开，攻击者可通过远程代码执行，控制服务器。

二、网络空间搜索引擎搜索  

fofa语法: icon_hash="13942501"

ZoomEye语句：app:"Alibaba Nacos"

三、漏洞复现  

3.1 环境搭建

下载nacos2.3.2或2.4.0版本

下载地址

https://github.com/alibaba/nacos/releases/download/2.3.2/nacos-server-2.3.2.zip 

下载后解压 （Windows环境演示） 进入bin目录

执行命令 启动nacos

startup.cmd -m standalone  

访问本地 http://127.0.0.1:8848/nacos/index.html 如图所示即为环境搭建成功

3.2 漏洞利用

漏洞利用脚本：https://github.com/ayoundzw/nacos-poc

下载后解压

需要先安装requirements.txt中的包。

pip -m install requirements.txt     

修改config.py中的IP与端口,这里注意端口不要和本地环境8848端口重复

使用python运行service.py

python service.py     

运行exploit.py 开始远程命令执行

文章来源互联网收集整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用

原文始发于微信公众号（网络安全透视镜）：【0 day】阿里 NACOS 远程命令执行漏洞