简介

NacosExploitGUI是一个面向红队/渗透测试者的 Nacos 一体化漏洞利用 GUI 工具，能自动识别并利用 Nacos 常见问题（例如默认口令、Derby SQL 注入、User-Agent/其它权限绕过、Yaml/Hessian 反序列化等多种漏洞），并内置多种利用手段（添加/删除/重置用户、配置导出、SQL 注入拿 RCE、注入冰蝎/蚁剑/内存马、反弹 shell 等），支持批量扫描、多线程、空间测绘（可对接 FOFA/Quake/Hunter）、自定义请求头/代理、扫描结果导出等实用功能；

演示视频

工具检查能力

Nacos Console 默认口令漏洞
Nacos Derby SQL 注入漏洞(CNVD-2020-67618)
Nacos User-Agent 权限绕过漏洞(CVE-2021-29441)
Nacos serverIdentity 权限绕过漏洞
Nacos token.secret.key 默认配置漏洞(QVD-2023-6271)
Nacos-Client Yaml 反序列化漏洞
Nacos Jraft Hessian 反序列化漏洞(CNVD-2023-45001)