m0_60767986的博客

当 nacos 在执行身份验证和授权操作时确定请求的用户代理是否为“Nacos-Server”时，由于简单的配置，通过利用此未经授权的漏洞，攻击者直接执行nacos的相关api接口进行漏洞利用。代码只限制了需要包含select，因此，导致可以执行任意的select查询语句。在nacos中accesstoken的生成是通过jwt的字符串创建的。此时，也可根据用户名，测试一下密码与用户名相同，进行测试。nacos存在默认的账号密码nacos/nacos。此代码，可直接修改ico账号的密码为ico。

RabbitMQ是一款开源的消息队列系统，支持多种协议，例如AMQP、MQTT等。在默认情况下，RabbitMQ的管理界面是开启的，可以通过Web浏览器访问，默认的访问地址为http://localhost::15672,使用用户名和密码进行登录。RabbitMQ弱口令指的是在未修改默认配置的情况下，因此，在使RabbitMQ时，需要及时修改管理员账户和密码，并确保密码的复杂度和安全性。当然，也可以尝试admin/admin，说必定也有不错的效果。min，说必定也有不错的效果。