昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https://github.com/xuxueli/xxl-job/releases/tag/2.4.0 将其导入IDEA中,即可进行分析。环境要求:Maven3+、Jdk1.8+、Mysql5.7+ ps:关于...
首先看预警信息首先提取关键词:accessToken 默认、在 application.properties 中配置、绕过认证调用 executor接下来我们去 xxl-job 的官方仓库找这个文件该文件有多个但内容一致,这里选择 xxl-job-admin 下的为例。我们能看到 application.properties 中 accessToken 确实有个配置项,其值就为 default_token。因为 prope...
XXL-JOB是一款基于Java的分布式任务调度平台,它允许用户调度和管理分布式任务。然而,在某些版本中,由于身份认证机制存在缺陷,攻击者可以绕过认证执行恶意任务。 2. 漏洞原因 漏洞的主要原因是XXL-JOB的accessToken配置不当。accessToken是用于调度通信的身份验证令牌。在XXL-JOB的某些版本中,accessToken的默认值是default_...
因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。 四、修复建议 1. 开启 XXL-JOB 自带的鉴权组件:官方文档中搜索 “xxl.job.accessToken”,按照文档说明启用即可。 2. 端口访问限制:通过配置安全组限制只允许指定IP才能访问端口 感谢你的阅读,相信你对“如何进行XXL-...
1. 漏洞详情 此次漏洞核心问题是 GLUE 模式。XXL-JOB 通过“GLUE模式”支持多语言以及脚本任务,该模式任务特点如下: ● 多语言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。 ●Web IDE:任务以源码方式维护在调度中心,支持通过 Web IDE 在线开发、维护。
xxl.job.accessToken=default_token 这里为了复现默认accessToken漏洞,不做修改,使用默认的即可。 然后到xxl-job-admin模块下打包: 代码语言:javascript 代码运行次数:0 复制 Cloud Studio代码运行 mvn-Ucleanpackage-Dmaven.test.skip 把jar包上传到服务器启动即可。
四、XXL-JOB漏洞复现与分析 4.1 默认口令 默认账号密码:admin/123456。 4.2 Hessian反序列化 4.2.1 漏洞复现4.2.1.1 出网利用影响版本:XXL-JOB <= 2.0.2 漏洞原理:/api接口存在Hessian2反序列化漏洞 漏洞复现: 访问/api接口存在如下报错响应,则存在漏洞。
一:漏洞描述 2023年11月1日,深瞳漏洞实验室监测到一则XXL-JOB组件存在认证绕过漏洞的信息,漏洞威胁等级:高危。该漏洞是由于XXL-JOB 在默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值,如果用户没有修改该默认值,攻击者可利用该默认值在未授权的情况下绕过...
从xxl-job官网看到2.3.1到2.4.0的版本变更日志. 从表面来看,2.4.0+版本修复了CVE-2022-43183的SSRF漏洞,主要影响2.3.1及以下版本。 二、关于SSRF 1.SSRF漏洞概念 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是从外网无法...
1. 开启 XXL-JOB 自带的鉴权组件:官方文档中搜索 “xxl.job.accessToken”,按照文档说明启用即可。 2. 端口访问限制:通过配置安全组限制只允许指定IP才能访问端口 感谢你的阅读,相信你对“如何进行XXL-JOB API接口未授权访问RCE漏洞复现”这一问题有一定的了解,快去动手实践吧,如果想了解更多相关知识点,可以关注亿...