免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
众所周知当nacos存在默认密钥配置漏洞的时候就可以直接添加用户进入后台,在实际渗透测试中,同事把他使用nacos默认密钥配置漏洞添加的用户账号密码以及网站丢给了我,给我说没办法看配置文件让我瞅瞅。
登录后查看确实如此,提示权限认证失败。
当时想都是默认密钥了,直接使用默认密钥生成一个nacos的Token然后访问不就行了,奇怪的是当我用生成的Token访问时直接给我闪退了,另外一种就是利用默认配置改密码由于是正式环境所以这个方法先放着。
想到之前我写过一篇文章不用登录直接下载配置信息,当时那个漏洞本质是对用户权限校验不严格导致的,如果我在之前的参数基础上添加上nacos的accessToken值然后再去下载配置信息呢。
http://xxx.xx.xx.xxx:8848/nacos/v1/cs/configs?export=true&tenant=&group=&appName=&dataId=&ids=&accessToken=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwiZXhwIjoxNzE4Nzg3Mzg4fQ.S1sP8_yj78IBa8G9thFe1euS7eBxuBdkFr2OsKN3XFM也是给他下载出来了
我把压缩包发给了同事,同事看了之后说,我只是把public的配置文件下载出来了其他还有好多没下载出来,我研究了下数据包发现tenant参数控制命名空间ID,比如是我要下载下图当中空间名称为VPN的配置文件,我就需要让tenant等于VPN的空间ID也就是60788b51-f01e-4319-ba4e-d54d16324fcf。
完整的下载数据包就是
http://xxx.xx.xx.xxx:8848/nacos/v1/cs/configs?export=true&tenant=60788b51-f01e-4319-ba4e-d54d16324fcf&group=&appName=&dataId=&ids=&accessToken=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk5OX0.00LxfkpzYpdVeojTfqMhtpPvNidpNcDoLU90MnHzA8Q