Nacos /nɑ:kəʊs/
是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。
Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。
指纹识别方式:title="NACOS" && body="nacos-logo.png"
Nacos 综合检测利用工具推荐:NacosExploit
下载地址:https://github.com/h0ny/NacosExploit
支持检测的漏洞列表:
可以基于认证绕过漏洞导出配置文件,其中包含很多敏感信息,比如数据库的链接地址和账号密码,如图:
如果存在反序列化漏洞或者未授权 SQL 语句执行,那么可以利用该漏洞直接打入内存马,从而接管整个服务器:
安全建议
1、加强系统和网络的访问控制,修改防火墙策略,不将非必要服务暴露于公网;
2、升级系统到最新版,以防历史漏洞造成不必要的损失
一键检测 Nacos 历史漏洞
信安之路 POC 系统配套工具 xazlscan 可以一键识别系统类型,并自动适配 POC 进行漏洞检测,只需要输入目标,就能获得漏洞列表,傻瓜式、一键化实现漏洞发现:
下载地址:
https://github.com/myh0st/xazlscan
每个 POC 都有对应的文库地址,无需搜索相关资料,一步直达漏洞详情。
原文始发于微信公众号(信安之路):Nacos 综合利用工具推荐
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论