最新Nacos漏洞综合利用工具

文章预览

1 ► 工具介绍 在攻防演练中，Nacos一直是红队攻击的重点目标之一，红队通常需要快速打点，尽快发现系统中的漏洞，并利用它们获取权限。工具支持检测Nacos多种常见漏洞，并且支持多种利用方式。作者： h0ny FOFA app = "NACOS" 2 ► 漏洞检测能力 支持检测漏洞 Nacos Console 默认口令漏洞 Nacos User-Agent 权限绕过漏洞(CVE-2021-29441) Nacos serverIdentity 权限绕过漏洞 Nacos Derby SQL 注入漏洞(CNVD-2020-67618) Nacos-Client Yaml 反序列化漏洞 Nacos Jraft Hessian 反序列化漏洞(CNVD-2023-45001) 3 ► 工具使用 漏洞检测： Nacos 认证绕过：（支持一键导出所有命名空间的配置文件） Nacos Derby SQL 注入：（不出网注入内存马，无 jar 落地；支持使用JMG生成的base64内存马） Nacos Client Yaml 反序列化：（支持不出网利用，写入恶意 yaml-payload.jar 至目标主机） 4 ► 工具获取 https://github.com/h0ny/Na ………………………………