【漏洞复现】Nacos 控制台默认口令漏洞

最新推荐文章于 2024-09-15 15:45:00 发布
最新推荐文章于 2024-09-15 15:45:00 发布
阅读量1k 收藏
点赞数 5
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37113223/article/details/138268457
版权
【漏洞复现】 专栏收录该内容
150 篇文章

已下架不支持订阅

本文详细介绍了Nacos控制台存在的默认口令漏洞,该漏洞可能导致未授权访问。通过搜索语法Fofa-Query: ip.port=='8848' and title=='HTTP Status 404 – Not Found'可以定位到问题,受影响的是Nacos的特定版本。文中还包含了漏洞的POC和复现过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述:

Nacos控制台默认口令漏洞是一个重要的安全问题,它涉及到未经授权的访问风险。在Nacos的某些版本中,如果使用了默认的口令或密钥,攻击者可能会利用这些默认设置来绕过身份认证,直接获得对Nacos的访问权限。

搜索语法:

Fofa-Query: ip.port=="8848" and title=="HTTP Status 404 – Not Found"

漏洞详情:

1.Nacos服务系统。

2.漏洞POC:

POST /nacos/v1/auth/users/login HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:96.0) Gecko/20100101 Firefox/96.0
Host: {
  {Hostname}}
Accept: text/html, image/gif, image/jpeg,
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

Alibaba Nacos存在默认口令漏洞
nnn2188185的博客
03-18 2688
Nacos是阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。
nacos历史漏洞
m0_60767986的博客
06-16 632
nacos 在执行身份验证和授权操作时确定请求的用户代理是否为“Nacos-Server”时,由于简单的配置,通过利用此未经授权的漏洞,攻击者直接执行nacos的相关api接口进行漏洞利用。代码只限制了需要包含select,因此,导致可以执行任意的select查询语句。在nacos中accesstoken的生成是通过jwt的字符串创建的。此时,也可根据用户名,测试一下密码与用户名相同,进行测试。nacos存在默认的账号密码nacos/nacos。此代码,可直接修改ico账号的密码为ico。
漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271
OneMoreThink
03-09 7920
原理危害攻击资产发现漏洞利用防御1、原理NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。在<=2.2.0、<=1.4.4的版本中,NACOS的配置文件conf/application.properties存在默认密钥nacos.core.auth.plugin.nacos.token.secret.key=SecretKey01...
Nacos漏洞总结复现
heike_Ch的博客
04-23 1743
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
nacos漏洞汇总
潇逗
06-27 3712
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。指纹:app=“nacos默认密码nacos nacos
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
最新发布
liuhyusb的博客
09-15 1342
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
SexyBeast233#SecBooks#Alibaba Nacos 控制台默认口令1
07-25
Alibaba Nacos 控制台默认口令漏洞描述Alibaba Nacos 控制台存在默认口令 nacos/nacos,可登录后台查看敏感信息漏洞影响漏洞
Nacos身份认证权限绕过+漏洞利用工具分享
hackzkaq的博客
12-27 3107
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 在线解密查看内容:
等保学习干货|等保测评2.0技术中间件自查阶段(下)
2401_84434570的博客
07-23 2164
以下是根据我国网络安全体系制订的一系列保护流程进行的等级保护测评。该测评针对已有和将上线的业务服务的基础设施(系统、数据库、中间件等),执行一系列检查以确保安全合规。一般来说:业务系统的组成是由系统和数据库及中间件组成,被攻击的情况下,攻击者也是向此作为目的进行攻击。Nignx版本为1.25.4。
nacos漏洞小结
qq_61475980的博客
07-01 6297
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。在路径后面加上可以获取到已有的用户名和密码,可以把User-Agent头改为Nacos-Server,如图更改提交方式为POST, 访问新建一个账号test111,可以看到创建用户成功,如图更改提交方式为DELETE, 访问可以看到用户删除成功,如图更改提交方式为。
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1551
JDK安装2023最完整教程与配置(零基础)
Nacos 1.2.1 Nacos 服务,修改默认端口
YHJ
05-29 1万+
一、场景描述   在常规的项目开发过程中,特别是生产环境的部署,都会尽量避免使用敏感的端口。在本次测试过程中,将Nacos-server-1.2.1的默认端口8848修改为8858,Nacos可以正常访问,项目成功注册。 二、配置步骤 修改nacos-server-1.2.1文件夹下的conf下的application.properties的端口配置为8858 以startup.cmd的方式启动nacos-server-1.2.1 ...
nacos安全测评漏洞nacos未授权访问漏洞【原理扫描】
Yang_RR的博客
05-11 3889
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。
Nacos默认用户名和密码
热门推荐
https://github.com/Mac-Zhu
11-29 3万+
nacos/nacos
Nacos 控制台如何进入
05-31
进入 Nacos 控制台的步骤如下: 1. 首先确保你已经启动了 Nacos 服务。 2. 在浏览器中输入 `http://<Nacos IP 地址>:<Nacos 端口号>/nacos`,然后按下回车键。 例如,如果你的 Nacos IP 地址是 `127.0.0.1`,端口号是 `8848`,那么你可以在浏览器中输入 `http://127.0.0.1:8848/nacos`。 3. 输入 Nacos 控制台的用户名和密码,然后点击登录按钮即可。 默认情况下,Nacos 控制台的用户名是 `nacos`,密码是 `nacos`。你可以在 Nacos 的配置文件中进行修改。 4. 登录成功后,你就可以在 Nacos 控制台中对服务进行管理和配置了。 需要注意的是,如果你在 Docker 中启动了 Nacos 服务,那么你需要将 Nacos 容器的端口映射到主机上,才能在浏览器中访问 Nacos 控制台。具体的端口映射命令可以参考 Docker 的相关文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值