最新Nacos漏洞综合利用工具

admin 2024年8月30日13:57:59评论66 views字数 533阅读1分46秒阅读模式

1工具介绍

在攻防演练中,Nacos一直是红队攻击的重点目标之一,红队通常需要快速打点,尽快发现系统中的漏洞,并利用它们获取权限。工具支持检测Nacos多种常见漏洞,并且支持多种利用方式。作者:h0ny

FOFA

app="NACOS"

最新Nacos漏洞综合利用工具

2漏洞检测能力

支持检测漏洞

最新Nacos漏洞综合利用工具

Nacos Console 默认口令漏洞Nacos User-Agent 权限绕过漏洞(CVE-2021-29441)Nacos serverIdentity 权限绕过漏洞Nacos Derby SQL 注入漏洞(CNVD-2020-67618)Nacos-Client Yaml 反序列化漏洞Nacos Jraft Hessian 反序列化漏洞(CNVD-2023-45001)
3工具使用漏洞检测

最新Nacos漏洞综合利用工具

Nacos 认证绕过:(支持一键导出所有命名空间的配置文件)

最新Nacos漏洞综合利用工具

Nacos Derby SQL 注入:(不出网注入内存马,无 jar 落地;支持使用JMG生成的base64内存马)

最新Nacos漏洞综合利用工具

Nacos Client Yaml 反序列化:(支持不出网利用,写入恶意 yaml-payload.jar 至目标主机)

最新Nacos漏洞综合利用工具

4工具获取

https://github.com/h0ny/NacosExploit

 

原文始发于微信公众号(黑白之道):最新Nacos漏洞综合利用工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月30日13:57:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新Nacos漏洞综合利用工具https://cn-sec.com/archives/3112280.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息