Nacos 综合利用工具推荐

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称，一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。

Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。

Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。

指纹识别方式：title="NACOS" && body="nacos-logo.png"

Nacos 综合检测利用工具推荐：NacosExploit

下载地址：https://github.com/h0ny/NacosExploit

支持检测的漏洞列表：

可以基于认证绕过漏洞导出配置文件，其中包含很多敏感信息，比如数据库的链接地址和账号密码，如图：

如果存在反序列化漏洞或者未授权 SQL 语句执行，那么可以利用该漏洞直接打入内存马，从而接管整个服务器：

安全建议

1、加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网；

2、升级系统到最新版，以防历史漏洞造成不必要的损失

一键检测 Nacos 历史漏洞

信安之路 POC 系统配套工具 xazlscan 可以一键识别系统类型，并自动适配 POC 进行漏洞检测，只需要输入目标，就能获得漏洞列表，傻瓜式、一键化实现漏洞发现：

下载地址：https://github.com/myh0st/xazlscan

每个 POC 都有对应的文库地址，无需搜索相关资料，一步直达漏洞详情。

信安之路

成长平台：帮助小白入门信息安全

内部文库：自学安全更加体系化

POC系统：历史漏洞检测更高效智能