长亭百川云 - 文章详情

全网首发!Nacos Derby Sql注入RCE 图形化一键利用工具(支持win/linux漏洞环境,自动寻址路径)

SXdysq

233

2024-07-18

漏洞描述

Nacos derby存在远程代码执行漏洞,由于Alibaba Nacos部分版本中derby数据库默认可以未授权访问,恶意攻击者利用此漏洞可以未授权执行SQL语句,从而远程加载恶意构造的jar包,最终导致任意代码执行。

影响版本

nacos 2.3.2
nacos 2.4.0

网络测绘

app="NACOS"

**漏洞Poc
**

Nacos Derby Sql注入RCE(常规出网)
Nacos Derby Sql注入RCE(不出网利用、加入CVE-2021-29442鉴权的绕过)

工具说明   由于该漏洞需要通过条件竞争利用,遂开发自动化一键利用工具。目前工具可实现漏洞检测、命令执行、打入内存马(不出网环境漏洞利用需要绝对路径,工具已支持自动获取)。

工具获取

扫码加入工具圈获取。

🍻🍻🍻**
**🍻
🍻🍻

你现在的付出,都会成为未来的财富。
生活不是等待风暴过去,而是学会在雨中跳舞。
失败并不意味着你不行,而是表明你还需要坚持。
每一次挫折都是迈向成功的机会。
心怀梦想,脚踏实地,所有的美好都会在未来相遇。
无论前路多么艰难,都不要忘记为什么出发。
成功不是终点,失败也不是末日,最重要的是继续前行的勇气。
努力可能不会成功,但放弃一定会失败。
人生就像骑自行车,要想保持平衡就要不断前进。
最美的风景在最高的山顶,最好的自己在奋斗的路上。
你的时间有限,不要浪费于重复别人的生活。
每一个优秀的人,都有一段沉默的时光。
伟大的梦想在于坚持不懈的努力。
不要怕目标定得太高,你可能会因此比原来更远。
只要心中有阳光,人生就没有雨天。
面对困难,不要说“我不行”,要说“我可以试试”。
心中有目标,脚下就有方向。
人生没有白走的路,每一步都算数。
成长就是不断摔倒又爬起来,直到学会独立行走。
愿你成为自己的太阳,无需借助谁的光。
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2