声明：文中涉及到的技术和工具，仅供学习使用，禁止从事任何非法活动，如因此造成的直接或间接损失，均由使用者自行承担责任。

点点关注不迷路，每周不定时持续分享各种干货。

原文链接：众亦信安，中意你啊！

背景：相信大家对nacos都不陌生，特别是里面的配置文件，项目中也经常碰到，泄露各种数据库账密、redis账密和一些web系统账密等，对后期开展渗透也起着关键作用。

---

nacos实况
贴几张项目中碰到的情况
一个nacos有几十个配置项目信息。

一个配置列表信息又有着几页数据。
纵使挑着看，例如redis、mysql、mogodb等看上去就和数据库相关的yml文件。耗时间不说，看的人直接两眼昏花。

---

GitNacosConfig
这里推荐一手p1d3er师傅写的GitNacosConfig。（征求大佬同意）
工具使用方法：

go run GitNacosConfig.go -u https://example.com/nacos/
go run GitNacosConfig.go -u https://example.com/nacos/ -token your_toekn

效果如图：

结束后会在当前目录下生成一个output.txt文本。

直接批量搜索关键字，效率提升了一个级别。
至于将output.txt的内容，各位师傅可动手小写一个脚本，提取需要的内容。