漏洞描述
Nacos derby存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。
影响版本
nacos 2.3.2
nacos 2.4.0
网络测绘
app="NACOS"
**漏洞Poc
**
Nacos Derby Sql注入RCE(常规出网)
Nacos Derby Sql注入RCE(不出网利用、加入CVE-2021-29442鉴权的绕过)
工具说明 由于该漏洞需要通过条件竞争利用,遂开发自动化一键利用工具。目前工具可实现漏洞检测、命令执行、打入内存马(不出网环境漏洞利用需要绝对路径,工具已支持自动获取)。
工具获取
扫码加入工具圈获取。
🍻🍻🍻**
**🍻🍻🍻
你现在的付出,都会成为未来的财富。
生活不是等待风暴过去,而是学会在雨中跳舞。
失败并不意味着你不行,而是表明你还需要坚持。
每一次挫折都是迈向成功的机会。
心怀梦想,脚踏实地,所有的美好都会在未来相遇。
无论前路多么艰难,都不要忘记为什么出发。
成功不是终点,失败也不是末日,最重要的是继续前行的勇气。
努力可能不会成功,但放弃一定会失败。
人生就像骑自行车,要想保持平衡就要不断前进。
最美的风景在最高的山顶,最好的自己在奋斗的路上。
你的时间有限,不要浪费于重复别人的生活。
每一个优秀的人,都有一段沉默的时光。
伟大的梦想在于坚持不懈的努力。
不要怕目标定得太高,你可能会因此比原来更远。
只要心中有阳光,人生就没有雨天。
面对困难,不要说“我不行”,要说“我可以试试”。
心中有目标,脚下就有方向。
人生没有白走的路,每一步都算数。
成长就是不断摔倒又爬起来,直到学会独立行走。
愿你成为自己的太阳,无需借助谁的光。