专栏名称: 船山信安
船山院士网络安全团队唯一公众号,为国之安全而奋斗,为信息安全而发声!
今天看啥  ›  专栏  ›  船山信安

nacos RCE 0day(已复现)

船山信安  · 公众号  ·  · 2024-07-20 00:00
    

文章预览

一、前言 Naco s 是一个开源的微服务架构平台,主要用于动态服务发 现 、配置管 理和服务管理 。 此次0day影响范围极大。 二、使用方法 环境准备:下载 nacos2 .3 .2 或2 .4 .0 版本,解压。 使用 startup .cmd -m standalone 启动 nacos POC是一个python项目,依赖requests和flask,请先使用requiments.txt安装依赖  1.配置config.py中的ip和端口,执行service.py, POC攻击需要启动一个jar包下载的地方,jar包里可以放任意代码,都可执行,项目里放了一个接收参数执行java命令的 2.执行exploit.py,输入地址和命令即可执行。 三、项目地址 https: //github.com/ayoundzw/nacos-poc 如遇项目主删库,可通过以下链接获取: https: //pan.quark.cn/s/1e3b00f69731 免责声明 传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览