浅谈Nacos漏洞之超管权限后续利用
2023-1-7 23:2:11 Author: 渗透安全团队(查看原文) 阅读量:256 收藏

    有师傅建议来一篇Nacos漏洞后续利用,可以帮助大家在实战过程可以更加有效的利用Nacos漏洞,之前的漏洞请参考"浅谈Nacos 漏洞之攻防两用"一文。

一、Nacos Client Yaml反序列化漏洞

    现在大部分的Nacos都已经完成大版本上面的升级,所以该漏洞利用危害较小,对于其Payload也是需要盲打才可以的,并且大部分资产都是存在于内网中,所以该漏洞我们浅谈一下即可。

(1)在1.4.1版本中存在Nacos Client Yaml反序列化漏洞,我们在关注Nacos版本升级的时候都会时刻关注升级时候修复的内容,我们在1.4.2版本升级中不难发现存在一条Use SafeConstructor to parse yaml configuration的更新,这个也是Nacos Client Yaml反序列化漏洞的问题所在。

链接:https://github.com/alibaba/nacos/releases?page=2

(2)点进去查看的时候我们阅读一下这条更新说明。

https://github.com/alibaba/nacos/pull/4753

(3)发现spring cloud、dubbo和springboot用户都是不使用AbstractConfigChangeListener来监听配置更改,说明spring cloud、dubbo和springboot的用户是不受影响的,而受到影响的应该是直接使用nacs -client的用户。

(4)在实战中我们如何利用呢?其实我们可以尝试更改已有的配置为YAML进行盲打,这时候就有可能拿下nacos服务器权限。

注:喜欢研究代码的师傅可以读一下IT老涵师傅对这个漏洞的代码分析链接:https://blog.csdn.net/HBohan/article/details/120782470
二、查看配置文件获取数据库信息
(1)我们拿到naocs超管权限之后我们发现会存在很多的配置列表。
(2)我们打开其中的配置文件或者直接先将配置文件全部下载(防止动态监测失去控制权限),然后直接寻找到数据库信息(MySql/Redis),然后进行数据库连接以及通过数据库权限进行进一步横向利用,比如数据库提权==》数据库服务器权限==》横向移动
存在两种情况:
①Nacos在公网上,数据库连接信息是内网服务器,这时候就会难以利用,但是可以作为其内网前的信息收集;Nacos在公网上,数据库连接信息是公网服务器,直接尝试账号密码连接,未做白名单限制则直接连接进行进一步利用。
②Nacos在内网上,数据库连接信息是无论是内网服务器还是公网服务器,直接进行尝试连接,连接成功之后则直接连接进行进一步利用。
三、查看配置文件获取Api/Url接口信息
    获取Api/Url接口信息==》拿下旁站Web权限=》数据库权限/服务器权限
(1)寻找其中配置文件是否存在其他接口信息,如果存在则可以直接通过该Api接口拿下旁站。
(2)寻找其中配置文件是否存在其他接口信息,如果存在则可以直接通过该Url接口信息拿下旁站Web权限。
(3)数据库权限/服务器权限
四、查看配置文件获取阿里云短信接口信息
    查看配置文件获取阿里云sms短信接口信息实施短信钓鱼攻击
五、进行内网信息收集(例如rabbitmq)
    总之,不管是Nacos上面配置何种信息,或者是某个系统重要的信息,大部分上都是内网机器的信息,这时候可以进行收集然后进行下一步的利用,例如:查看配置文件获取rabbitmq登录信息。

六、防

    那么我们如何防守攻击人员拿下Nacos的Web权限时将自身利益降到最小呢?

1、时刻关注Nacos官方,保持版本或补丁为最新;

官方链接:https://github.com/alibaba/nacos/

2、在配置文件中涉及到账号信息等敏感信息采用不可逆强加密算法;

3、对核心业务进行逻辑/物理隔离,黑白名单控制;

4、实施安全设备监控;

5、对系统接口实施安全措施防护;

6、尽量不将Nacos放置在公网上。

七、总结

    无论我们拿下哪一个站点以及获取到何种权限,都是为了在下一步利用中使用,所以我们在实战中获取到的信息一定需要进行一定的记录,不论大小,哪怕是报错信息里面也有可能蕴含某个系统的账号信息,这时是不是就体现出我们在渗透实战中要具备的品质:细心;一场对战避免不了很多乱七八糟的东西在困扰我们的视线,这时候我们就需要细心的整理才能获得胜利。
    每一次的进步都少不了各位师傅们的督促,2023我们一起加油!


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247495724&idx=2&sn=dcc0629faaf7379bba94a34937db3358&chksm=c1760d83f6018495787c8c4e747f2507ae50ffc7d3fb318ac45892dd1b216b70e942b74259e1#rd
如有侵权请联系:admin#unsafe.sh