Nacos权限认证绕过漏洞分析与复现

1. 漏洞概述

Nacos是阿里为SpringCloud贡献的子项目SpringCloud Alibaba中的一个组件，提供动态服务发现、服务配置、服务元数据及流量管理功能。

该漏洞允许攻击者在未授权的情况下：

• 查看系统用户列表及加密密码
• 添加新用户
• 使用添加的用户登录系统
• 删除用户

2. 漏洞复现步骤

2.1 信息收集

1. 对目标域名进行目录扫描，发现/nacos目录
2. 访问https://www.example.com/nacos确认Nacos服务存在

2.2 未授权访问用户列表

1. 直接访问URL：

   https://www.example.com/nacos/v1/auth/users?pageNo=1&pageSize=1000
   

2. 可获取系统用户列表及加密的密码信息

2.3 添加新用户

1. 构造POST请求到URL：

   https://www.example.com/nacos/v1/auth/users?username=test1&password=Test@123
   

2. 关键修改：
   • 请求方法从GET改为POST
   • 设置请求头：

     User-Agent: Nacos-Server
     

3. 发送请求后，系统会返回创建用户成功的提示

2.4 验证用户添加

1. 再次访问用户列表URL：

   https://www.example.com/nacos/v1/auth/users?pageNo=1&pageSize=1000
   

2. 确认新用户test1已出现在用户列表中

2.5 使用新用户登录

1. 使用添加的凭据(test1/Test@123)登录系统
2. 确认可成功登录

2.6 删除测试用户(可选)

1. 构造删除用户的请求
2. 验证用户已从列表中消失

3. 其他发现

• 系统存在默认用户nacos，密码也是nacos
• 通过对比加密字符串可确认默认密码

4. 漏洞原理

该漏洞属于权限认证绕过，主要由于：

1. API接口缺乏严格的权限验证
2. 通过伪造User-Agent: Nacos-Server头可绕过认证
3. 默认凭证未修改增加了风险

5. 修复建议

5.1 密码策略

• 立即修改默认口令
• 新口令要求：
  • 长度不小于8位
  • 包含数字、大小写字母、特殊字符

5.2 系统升级

• 升级至最新版本Nacos
• 按照官方文档进行安全配置

5.3 网络架构

• Nacos作为服务发现和配置管理中间件，应部署在内网
• 避免将Nacos控制台暴露在公网环境

5.4 其他措施

• 实施API访问控制
• 监控和审计用户管理操作
• 定期进行安全评估

6. 学习要点

1. 信息收集是渗透测试的第一步，目录扫描可能发现关键路径
2. 了解常见中间件的默认配置和API接口
3. 伪造请求头可能绕过安全限制
4. 默认凭证是常见的安全隐患
5. 漏洞复现后应清理测试数据

7. 参考资源

• Nacos官方文档
• SpringCloud Alibaba项目
• OWASP认证绕过指南
• 常见Web应用默认凭证列表

8. 注意事项

• 该漏洞复现仅限授权测试环境
• 未经授权测试他人系统属违法行为
• 生产环境修复前应评估业务影响
• 建议在修复后进行回归测试