吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2523|回复: 35
上一主题 下一主题
收起左侧

[漏洞分析] Nacos漏洞复现(2024)

[复制链接]
跳转到指定楼层
楼主
xuanyuanzx 发表于 2024-7-22 20:46 回帖奖励
本帖最后由 xuanyuanzx 于 2024-7-24 19:05 编辑

本人刚来到吾爱破解网站,是一名网络安全领域的IT人。以后会在这里跟大家分享一些经典漏洞的复现以及网络安全的学习情况,和大家相互学习,希望可以一起成长进步。今天给大家分享一下关于nacos的近期爆出来的一个漏洞复现。

一、应用介绍

​        Nacos(全称为 “Naming and Configuration Service”)是一个开源的分布式服务发现和配置管理平台,由阿里巴巴集团开发并开源。Nacos 提供了服务注册、发现、配置管理、动态 DNS 服务等功能,可帮助开发者构建弹性的、高可用的微服务架构。现有的nacos的资产数量还是较为庞大的,主要登录界面如下:

二、漏洞介绍

​                本次漏洞需要登录后才能使用,具体原理是 Nacos 的某些接口没有严格的权限控制,攻击者可以通过特制的请求向 Nacos 服务器发送恶意数据,从而执行任意代码。

三、漏洞影响

影响版本:nacos2.3.2-2.4.0

利用条件:

  • 需要naocs没有做鉴权,或者能登录后台获取凭证
  • 需要使用的是derby数据库,如果是mysql不行

四、搜索语句

fofa语法: icon_hash="13942501"`

`ZoomEye语句:app:"Alibaba Nacos"`

`Hunter语句:app.name="nacos"`

`Quake语句:app="nacos"

五、漏洞复现

1.环境搭建

下载nacos2.3.2——https://github.com/alibaba/nacos/releases/download/2.3.2/nacos-server-2.3.2.zip

解压后进入bin文件夹下,执行:

sh startup.sh -m standalone

本地访问:http://127.0.0.1:8848/nacos/index.html

2.漏洞利用

下载利用脚本:https://github.com/ayoundzw/nacos-poc

打开config.py修改脚本服务IP和端口,只要不和本地其他冲突就行,默认不用修改:

运行service.py,开启nacos的一个下载服务:

分析:这个代码payload传入的是一个base64编码的字符串,这个编码的字符串被解码为二进制数据,解码后作为jar包对其进行分析,jar使用了一个公共静态方法来接受一个字符串参数(cmd),表示要执行的命令。创建一个StringBuffer对象用于存储命令的输出,并且检查操作系统名称来判断系统使用了那种字符集(UTF-8或GBK)。再使用Runtime.getRuntime().exec(cmd);执行的命令,返回一个对象, 最后从进程的输入流中获取输出,并使用InputStreamReader和BufferedReader来逐行读取和解析输出:

运行exploit.py,通过上传恶意SQL脚本并执行Java函数来实现命令执行:

分析:urljoin是Python标准库urllib.parse模块中的一个函数,它用于将两个或多个部分(通常是字符串)组合成一个完整的URL。并且对其中传入的参数分析发现代码是用于执行数据库操作的SQL脚本。

整体利用链:使用exp.py来加载远程的service.py放置的远程jar包,并使用Derby数据库中的执行命令去执行jar包中的命令。

六、修复建议

升级到最新版本,应急:

  • 数据库使用mysql即可
  • 开启nacos鉴权机制,修改默认token及用户名密码

免费评分

参与人数 6吾爱币 +12 热心值 +3 收起 理由
52YR + 1 仔细学习
superoneh + 1 + 1 我很赞同!
willJ + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
SherlockProel + 1 我很赞同!
lgc81034 + 1 谢谢@Thanks!
孺子韫 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
linuxdev 发表于 2024-7-23 19:50
atom1215 发表于 2024-7-23 15:09
fofa账号哪里找的?自己买的吗???

以前可以用临时邮箱注册,现在不知道了。不过还有类似替代品的
推荐
Yuukipix 发表于 2024-7-24 14:18
atom1215 发表于 2024-7-23 15:09
fofa账号哪里找的?自己买的吗???

不用fofa用hunter也可以,一天免费500条
推荐
 楼主| xuanyuanzx 发表于 2024-7-23 23:13 |楼主
atom1215 发表于 2024-7-23 15:09
fofa账号哪里找的?自己买的吗???

qq邮箱登录就行,如果只是尝试的手段,qq邮箱提供的次数够了
沙发
Hmily 发表于 2024-7-23 11:17
贴图的方式错了,md的格式也用discuz的方式插入,https://www.52pojie.cn/misc.php? ... 29&messageid=36 看这个内容修改下,不然很快图片会失效。
3#
arkizat 发表于 2024-7-23 13:53
66666,
4#
Fengxf 发表于 2024-7-23 14:23
这个是不是需要弱口令登录后才能利用呀
5#
atom1215 发表于 2024-7-23 15:09
fofa账号哪里找的?自己买的吗???
6#
kevinZ0 发表于 2024-7-23 15:21
优秀,学习学习
7#
4396qaq 发表于 2024-7-23 15:26
文章很不错呀,希望能有更多学习漏洞的机会
8#
dumaxwell 发表于 2024-7-23 15:57
derby数据库,生产中,谁用这个数据库呀,都没听说过
9#
canimei 发表于 2024-7-23 16:46
倒是可以试试,感谢分享。。
10#
ZHANGLIHAOO 发表于 2024-7-23 17:04
derby数据库 没有听过都
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-15 14:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表