限制网络访问:配置网络访问控制策略,限制对外请求的范围,防止SSRF等漏洞被利用。 安全审计:定期对系统进行安全审计,及时发现并修复潜在的安全隐患。 五、检测并修复已存在的xxl-job漏洞的建议 漏洞扫描:使用专业的漏洞扫描工具对系统进行扫描,发现可能存在的漏洞。 对比漏洞信息:将扫描结果与已知的XXL-JOB漏洞信息进行对...
xxl.job.executor.appname=xxl-job-executor-sample ### xxl-job executor registry-address:defaultuse address to registry , otherwise use ip:portifaddressisnullxxl.job.executor.address=### xxl-job executor server-info xxl.job.executor.ip=xxl.job.executor.port=9999### xxl-job executor log-path ...
添加好弱口令密码字典后,点击右上角的start attack,如果密码库够强大,如果xxl-job控制台确实使用了弱口令密码,那么大概率能够爆破,爆破结束后将结果按照length排序,成功的长度与失败的长度不一样。 点击对应响应内容看到响应码200成功,并且正确返回了XXL_JOB_LOGIN_IDENTITY对应的cookie值,说明登录成功了,这时候拿到对应...
accessToken的默认值是default_token,在调度中心的配置文件是xxl-job-admin/src/main/resources/application.properties,配置项是xxl.job.accessToken=default_token。 在执行器的配置文件是xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/resources/application.properties,配置项是xxl.job.accessTo...
调度中心(默认端口 8080)就是 xxl-job-admin,而执行器(默认端口 9999)则就是所谓的 executor。执行器接收调度中心发出的命令,在所在机器上执行后并返回结果。而接收上级指令一定有一个身份验证来保证不被滥用,这个验证就是 accessToken。那么现在我们大致就理清漏洞的利用思路了,很简单就是构造一个调度中心的...
一、漏洞概述XXL-JOB是一款流行的轻量级分布式任务调度平台,由于其易用性和高效性,被广泛应用于各种业务场景。然而,近期发现XXL-JOB executor存在未授权访问漏洞,可能允许未经授权的用户访问和执行任务。这一漏洞给企业和组织带来了潜在的安全风险。二、漏洞成因该漏洞的主要原因是XXL-JOB executor在访问控制方面存在缺陷...
XXL-JOB漏洞 1、后台弱口令->RCE 2、未授权API->RCE 3、默认accessToken 4、CVE-2022-36157 5、SSRF漏洞->RCE 总结 前言 在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量结算,计算当日的订单量,当日的成本收入等。当存在大量定时任务的时候,任务的管理也会成为一个比较头痛的问题。XXL...
起因: 昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https://github.com/xuxueli/xxl-job/releases/tag
1.先部署调度中心xxl-job-admin 调度中心访问地址:http://localhost:8080/xxl-job-admin(该地址执行器将会使用到,作为回调地址) 默认登录账号 “admin/123456”, 登录后运行界面如下图所示。配置文件如下2.部署执行器项目 负责接收“调度中心”的调度并执行;可直接部署执行器,也可以将执行器集成到现有业务项目中。
https://github.com/xuxueli/xxl-job/issues?q=accessToken+ 项目环境 为了确认当前项目引入的版本是否在当前漏洞版本内,打开项目,在pom.xml中找到代码引入的位置。通过查看,正好在漏洞范围内,急需处理。 漏洞版本:2.2.0 ~ 2.4.0 项目引入版本:2.2.0 ...