正文

最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测

admin
admin V管理员 /0 评论 /34 阅读
1227
此篇文章发布距今已超过15天,您需要注意文章的内容或图片是否可用!

0x01 工具介绍

NacosExploit是一款用于检测Nacos服务中已知漏洞的工具,支持自定义内存马功能,使渗透测试更加灵活。通过简单的FOFA查询语法,可以快速识别目标Nacos实例的认证绕过等问题。

下载地址在末尾

0x02 功能简介

支持漏洞

| PoC | Exploit | Vulnerability Name                   | Vulnerability Identifier || :-: | :-----: | :----------------------------------- | :----------------------- || YES |   YES   | Nacos Default Auth Disabled          | /                        || YES |   YES   | Nacos Default Password (nacos/nacos) | AVD-2021-896025          || YES |   YES   | Nacos Default server.identity        | /                        || YES |   YES   | Nacos Default token.secret.key       | AVD-2023-1655789         || YES |   YES   | Nacos Default User-Agent             | AVD-2021-29441           || YES |   YES   | Nacos Derby SQL Injection            | AVD-2021-897468          || NO  |   YES   | Nacos Client Yaml Deserialization    | /                        || NO  |   YES   | Nacos Jraft Hessian Deserialization  | AVD-2023-1700159         || NO  |   YES   | Nacos Jraft Services File Operations | AVD-2024-1743586         |

功能展示

漏洞检测:

认证绕过:

Derby SQL 注入:

Jraft 反序例化漏洞:

0x03更新说明

优化代码修复部分已知问题添加 Nacos Hessian 反序列化内存马(AVD-2023-1700159添加 Nacos 任意文件读取(AVD-2024-1743586

0x04 使用介绍

java8、jdk1.8一键启动

java8 -jar .NacosExploit-v2.0.0.jar

0x05 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网