引言

站长最近在把哪吒监控探针从V0升级到V1，全新的版本确实有许多惊喜的变动，例如：全新的面板主题、Agent的启动配置、登录方式变动等。配置了一天后，站长发现发现新版哪吒监控探针是存在一定安全性风险的，而且一旦被利用几乎全部沦陷。

站长即兴把哪吒监控探针做成了靶机（图1-1），朋友可以前往 极核靶场 -> 漏洞靶场练习 -> 哪吒监控 体验一下，看看是否很容易就可以拿到主机权限？

变动与风险

关于登录

哪吒监控V0版本是需要Github进行授权登录的，虽然配置的时候麻烦了许多，但是安全性还是可以的。但是V1版本的默认登录方式变为了密码登录，并且默认为弱口令 admin / admin。即使大部分有意识的站长都会进行修改密码，但是并不排除 小白 和懒人吧~

监控端（Agent）默认权限过高

站长认为这也是最核心的安全风险，无论是哪吒监控的V0版本还是V1版本，Agent的权限默认都是很高的，拥有被主控端 执行命令的权限 & 自动升级权限。在V0版本的时候，由于登录方式还是比较安全的，所以Agent默认权限过高的问题似乎并没有被重视。试想一下在V1版本，如果在全部进行默认配置的情况下，你的主控端是弱口令或者被密码爆破进来了，攻击者可以直接在后台操控你的所有Agent机器，直接导致全部沦陷。又或者自动升级功能被供应链被攻击（概率较小），是不是所有Agent都直接变为肉鸡了呢？

虽然官方无论在V0还是V1版本都提供了自定义设置（V0是命令，V1是配置文件）（图2-1），但是绝大多数的用户的Agent端喜欢用一键脚本来执行安装，即使在 /opt/nezha 目录下生成了配置文件，不过我想大部分用户应该是懒得去改吧。

安装建议

1、在主控面板端安装后的第一时间把用户名和密码全部改掉，以减少被爆破出密码的的风险！

2、Agent监控端无论是一键脚本还是手动执行二进制文件，都建议将执行命令的权限 & 自动升级权限全部关掉（图3-1），监控端Agent的配置文件在 /opt/nezha 下或者手动执行二进制文件的当前目录下的 config.yml 文件，对应的配置选项改为：disable_auto_update: true | disable_command_execute: true

攻击与利用

如果看到这里你仍然不知道这些究竟有什么安全风险的话，不妨看一下下面这两张图（转自群友）（图4-1）。这是随便从网上找的目标资产，攻击方式也是极其的简单粗暴，利用弱口令：admin / admin 进入到后台，然后利用默认高权限的Agent直接执行命令。

那如何拿到这么多的哪吒监控探针呢？利用网络空间搜索引擎（图4-2），以FOFA为例：icon_hash="-1914242756" 或者 title="哪吒监控"

这么多资产，总会有默认弱口令没改且Agent权限没改的，如果不信，你可以一个个试，或者直接把资产全部拉下来，然后写个Python请求脚本批量爆破。

爆破脚本

语言为Python，同时需要新建两个文件：

• 用来存放目标资产的链接：url.txt
• 用来存放爆破成功的资产：success.txt