Nacos未授权访问漏洞复现和分析

访客4年前关于黑客接单931

简介

Nacos是一套帮助您发现、配置和管理微服务的程序。提供一组简单易用的特性集,能够快速的实现动态服务发现、服务配置、服务元数据以及流量管理。

在Nacos 2.0版本存在未授权访问漏洞,程序未有效对于用户权限进行判断,导致能够添加任意用户、修改任意用户密码等等问题。

搭建环境

通过官方github咱们找到相关下载链接:

https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gz

Windows下面运行 *** :

解压nacos-server-2.0.0-ALPHA.1.tar.gz

访问cd nacos-server-2.0.0-ALPHA.1 acos\bin

运行.\startup.cmd -m standalone

Linux 下面运行 *** :

解压tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz

访问cd nacos-server-2.0.0-ALPHA.1 acos\bin

运行https://www.freebuf.com/articles/web/startup.sh -m standalone

笔者在Windows下面测试运行后如下:

能够看到Console为访问地址http://192.168.189.1:8848/nacos/index.html#/login。

到这步表示环境搭建成功。

漏洞复现

通过默认用户名和密码nacos/nacos登录系统。

选择权限控制->用户列表->角色列表->创建用户。

咱们在添加用户时候进行抓包,将数据包之中accessToken值和属性进行删除。

通过发包器进行发送,得到成功的响应提示。

在刷新界面之后,成功添加test2用户,用户密码为test2。

同理在用户密码重置功能,能够前台重置任意用户密码。

其他功能也会存在同样类型问题。

漏洞分析

这个问题是权限控制模块还没开发完成。

在这里已经说到相关问题https://github.com/alibaba/nacos/issues/1105。

修复建议

在权限控制开发完成之前更好不要对非信任 *** 开放平台。

开发完成之后抓紧更新修复该问题。

相关文章

有没有一种软件可以查老板和其他女人聊天记录

  王列敏   【人物简介】   王列敏,1933年11月出生,南京六合人,原六合县第三届各界人民代表大会代表,曾任县人大换届选举办公室副主任,县第一、二届人大工作理论研究会副秘书长。   【口...

西安伴游女QQ,怎么约西安伴游女

怎么约西安伴游女,史蓉ID:2441883158cm75kg38C摩羯座B型血藏族二零一一年03月07太阳升起生在广东泉州市香洲区,大专文凭毕业于芜湖市岗位技术学校,现定居西安,岗位:伴游女QQ性情:...

感冒药价格翻倍,医药网商城该如何优化?

感冒药价格翻倍,医药网商城该如何优化?

对付搜索引擎优化人员来说,我们天天都要面临高强度的事情,我们的身体处于亚康健状态。面临季候的瓜代,很容易引刮风行性伤风。 假如你最近有相关症状,而且购置了伤风药,你会发明“伤风药双倍价值”已经成为公家...

黑客帝国虚幻5细节(黑客帝国觉醒虚幻引擎5)

黑客帝国虚幻5细节(黑客帝国觉醒虚幻引擎5)

本文导读目录: 1、黑客帝国解析 2、关于《黑客帝国》三部曲的问题 3、黑客帝国觉醒ps5在哪下载 4、黑客帝国虚幻5怎么搜 5、黑客帝国到底在讲什么?里面好多情节我都看不懂 6、...

怎么查看老婆的微信聊天记录吗

生活中会时不时的给我们一个惊喜,很开心的宝宝会走路啦,就是突然一下在不需要人扶着情况下,小心翼翼的迈开小脚,跨出人生中的第一步,我也很是高兴,感恩一切!孩子会走路了心情说说,形容孩子刚会走路心情感慨。...

怎么完成新用户转化?数据分析告诉你

怎么完成新用户转化?数据分析告诉你

用户引流进来之后,怎么转化才是要害,这个时候数据反应出来的信息就十分重要了。本文仅作参考,接待各人的接头和指正! 转化 在完成引流的事情后,下一步需要思量的就是转化了,一个崭新的用户一路走来到完成生...