Nacos配置中心特征及漏洞复现

Nacos 是一个设计用于动态服务发现、配置和服务管理的易于使用的平台。

Web特征

访问 8848/nacos/ 即可访问默认界面(Web路径-控制台):

image-20251124212935702

常见API接口:

  • 配置相关:/nacos/v1/cs/configs
  • 服务相关:/nacos/v1/ns/instance/list
  • 权限相关:/nacos/v1/auth/users/login

该产品存在默认icon:image-20251124213130489

fofa语法:icon_hash="13942501" || icon_hash="1227052603"app="Nacos" && port="8848"

漏洞利用

此漏洞存在综合利用工具(天狐渗透工具箱-社区版V2.0纪念版/nacos综合利用工具),利用工具直接进行扫描和利用:

image-20251124213510366

也可以利用公开poc

python3 poc.py -t http://target-ip:8848 -c "<command>"

image-20251124214523096

posted @ 2025-12-02 12:51  shinianyunyan  阅读(24)  评论(0)    收藏  举报