开源的安全漏洞综合检测与利用工具NacosExploitv3.0.5：获取使用指南！

#网安工具 ·2026-06-23 10:43:52

说实话，Nacos 这个组件在企业里用得太多，但真正去认真做安全测试的人没几个。

阿里的 Nacos 作为服务发现和配置管理平台，部署起来简单顺手，很多团队图省事直接裸奔上线。但问题是默认配置里的坑一个接一个， Derby SQL 注入、Jraft 反序列化、未授权访问，哪个拎出来都是高危。平时没人管，一到攻防演练就炸锅。红队拿着现成的 EXP 批量刷分，蓝队手忙脚乱地打补丁，这种场面我见多了。

而NacosExploit 这个工具，就是专门来治这种病的。

它的定位很清晰，不搞花里胡哨的噱头，就是老老实实把 Nacos 相关的漏洞检测和利用户整合到一个 GUI 界面里。

最新 v3.0.5 版本是上个月才升级的，比老版本顺手太多。代码结构重新梳理过，启动速度快了一截；GUI 界面也调整过，按钮布局更符合操作直觉。最让我意外的是 Jar 包居然瘦了不少——Maven 配置优化之后体积缩小很多，下载和传输都方便多了。

这个版本删掉了 Nacos Client Yaml 反序列化的利用模块。

刚开始我还纳闷，后来想想也理解，那个漏洞场景太受限，留着占地方不如砍掉。取而代之的是更实用的功能，Jasypt 加解密直接集成进来，配置文件里的密文再也不用翻其他工具去解；批量扫描也终于加上了，之前测内网环境要手动换目标地址，现在直接扔个 IP 列表进去让它自己跑。

不过，真正让我眼前一亮的是 Derby SQL 注入的更新。新版把老 POC 加了回来，可以通过上传恶意 Jar 包注入代码、创建命令执行函数。还有内存马的植入——Derby SQL 注入和 Jraft Hessian 反序列化都支持了命令内存马。这意味着什么？拿下权限之后不用再费劲维持访问，直接种马，干净利落。

说到这儿可能有读者要问，这工具到底怎么用？

工具已经打包成可执行的 Jar 文件，不需要你配环境、装依赖。页面底部有个蓝色按钮，点下去就能拿到 nacos-exploit-3.0.5-jar-with-dependencies.jar 这个文件。丢到任意目录，命令行里敲一行就行：

java -jar nacos-exploit-3.0.5-jar-with-dependencies.jar

前提是机器上装了 Java 环境，JDK 8 以上都能跑。如果命令行里提示找不到 Java，先去装个 JDK。

启动之后会自动弹出图形界面，一个窗口把所有功能都摆在你面前。最上面填目标地址，格式一般是 http://ip:8848/nacos。然后左右两排按钮——环境检测、漏洞检测、Auth 认证绕过、DerbySQL 注入、批量任务、解密工具，点哪个就进哪个模块。界面是中文的，门槛不高，就算没怎么用过类似工具的人也能摸索明白。

但我必须多说几句。

工具是好工具，但用的时候心里要有杆秤。NacosExploit 本质上是一把锋利的手术刀，拿在手里是为了排查隐患、加固防线。红队用它找突破口没问题，蓝队拿它做自检也完全正当。可你要是拿去扫公网上无辜的靶子、或者未经授权就捅别人的系统，那就是另外一回事了。

我见过太多人，拿到工具之后兴冲冲地到处扫，结果把自己扫进了局子。技术无罪，但技术的边界在于使用它的人。尤其像 Nacos 这种常见于内网的组件，很多企业的生产环境直接暴露在公网上，你一梭子扫过去，对方告警系统立马炸，溯源追到你只是时间问题。

另外，v3.0.5 虽然功能更强，但也别迷信自动化结果。工具的检测逻辑是基于已知漏洞特征，遇到魔改过的 Nacos 版本、或者加了额外安全策略的环境，可能会漏报也可能误报。真正严谨的测试，还是得结合手工验证。

如果你负责企业的安全建设，我建议把这款工具加入到例行检查流程里。特别是那些几年前上线、至今没升过级的 Nacos 实例，往往是重灾区。用 NacosExploit 扫一遍，导出结果，盯着研发把该修的修了，该升级的升级了。别等攻防演练的时候被红队捅穿才后悔。

点击页面底部蓝色按钮获取 Jar 安装包，直接下载使用。提取码: 1sc6