最新Nacos 漏洞复现与修复建议
最新Nacos 漏洞复现与修复建议
攻防训练营 2024-07-15 21:05
环境搭建
首先拉取Nacos的docker镜像
git clone https://github.com/nacos-group/nacos-docker.git
cd nacos-docker
这里改一下
example/standalone-derby.yaml
docker-compose -f example/standalone-derby.yaml up
漏洞复现
编辑config.py文件
这里我把exploit.py里面地址改成了我自己的IP
然后运行server.py
运行exp
修复建议
-
升级nacos到最新版本(虽然无法修复漏洞,但是可以避免之前的未授权漏洞)
。 -
禁止nacos的匿名访问,开启鉴权
。 -
nacos设置复杂的密码
。
欢迎进入内部星球一起交流
攻防训练营
攻防训练营是高质量的网络安全领域星球,星球中有针对安全新人的优秀入门学习资料、
各类攻防、CTF信息、攻防工具、技巧、书籍等各种资源,
所有发布的内容均精心挑选、成体系化,让你远离无用信息及零碎的知识点。
致力以手把手的模式引导广大网络安全从业者转型为安全技术人员,欢迎您的加入!!!
awd攻防神器
专属靶场
有专门的视频指导您从0到1学习
b站r00t_1
https://space.bilibili.com/317711147
加入攻防训练营星球你能得到什么?
- awd攻防神器(一键获取提交flag、一键植入蠕虫不死马、快速扫描工具等等)以及源码(还在更新工具中)
- 专题更新漏洞挖掘小技巧,仿真实战靶场wp
- 遇到任何技术问题都可以提问与交流
- 内部专属培训课程(网络攻防,漏洞挖掘、代码审计)
- 获得最新漏洞信息与攻防工具
- 近距离与安全大咖接触交流与大厂面试心得
- 漏洞poc编写技巧(goby、X-ray、nuclei)
- 良好的团队氛围,不定期举办攻防比赛