实现了nacos-client yaml 的自动化检测及其利用 ,师傅们可以试试看实战场景下遇到的多不多,工具出现了特殊场景导致的误报漏报欢迎联系我进行更新
本工具已经集成Nacos常见漏洞的检测及其利用,工具为GUI版本,简单好用。3.4版本优化了内存马注入处命令执行的代码,可单独检测是否存活,添加了批量扫描等。
漏洞检测
漏洞检测支持非常规路径的检查,比如Nacos的路径为 http://xxx.xxx.xxx.xxx/home/nacos , 只需在目标中填入Nacos的路径即可,指纹识别功能会就去扫描三个路径(" "、"/nacos" 、"/home/nacos"),识别了Nacos才会开启漏洞扫描
权限绕过漏洞利用
批量检测
SQL注入利用
内存马注入
下次会优化批量扫描,多线程,添加进度条,暂停扫描,写完弱口令爆破等等
该开源工具是由作者按照开源许可证发布的,仅供个人学习和研究使用。作者不对您使用该工具所产生的任何后果负任何法律责任。
