Nacos漏洞综合利用GUI工具

月师傅

Nacos漏洞综合利用GUI工具


工具简介
工具支持检测Nacos多种常见漏洞，并且支持多种利用方式，如添加用户、删除用户、重置密码、sql注入、内存马注入、命令执行、配置文件提取等等。工具提供直观友好的图像化界面，用户能够轻松进行操作和管理。支持空间测绘、批量扫描功能，用户可以同时对多个目标进行漏洞检测，极大地提高了扫描效率。还支持暂停扫描、终止扫描、自定义多线程扫描、自定义请求头、内置随机User-Agent头、http代理、socks代理、扫描结果导出为表格等等功能。

工具检查能力
工具目前支持如下漏洞的检测，我们也会持续添加poc和各种漏洞利用方式。漏洞检测支持非常规路径的检查，比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/nacos , 只需在目标中填入Nacos的路径即可，指纹识别功能就会去扫描三个路径(" "、"/nacos" 、"/home/nacos")，识别了Nacos才会开启漏洞扫描

Nacos Console 默认口令漏洞
Nacos Derby SQL 注入漏洞(CNVD-2020-67618)
Nacos User-Agent 权限绕过漏洞(CVE-2021-29441)
Nacos serverIdentity 权限绕过漏洞
Nacos token.secret.key 默认配置漏洞(QVD-2023-6271)
Nacos-Client Yaml 反序列化漏洞
Nacos Jraft Hessian 反序列化漏洞(CNVD-2023-45001))



下载地址 https://github.com/charonlight/NacosExploitGUI