默认口令漏洞:XXL-JOB全版本存在默认口令“admin/123456”,如果管理员未修改默认密码,攻击者可以直接登录后台管理系统,利用任务管理功能执行任意命令。 未授权API漏洞:在XXL-JOB <= 2.2.0版本中,执行器端默认没有配置认证,攻击者可以通过未授权的API执行任意命令。 默认accessToken漏洞:在XXL-JOB <= 2.4.0版本中,...
accessToken 本来是为了修复2020年xxl-job 执行器executor RESTful API 未授权访问 RCE 漏洞,为了防止其未授权添加了accessToken校验,但是很多人在使用该框架的时候并未修改其默认的值xxl.job.accessToken=default_token,与shiro的默认key泄漏导致的RCE原理很相似。 POST /run HTTP/1.1Host:127.0.0.1:9999Accept-Encodi...
java-jar xxl-job-executor-samples/xxl-job-executor-sample-springboot/target/xxl-job-executor-sample-springboot-2.4.0.jar 最后再次使用默认密钥进行任意代码执行,发现报错The access token is wrong.,成功修复漏洞。
低版本xxl-job,用户从攻击机向xxl-job-admin发送请求,然后xxl-job-admin将恶意请求转发给xxl-job-executor,或者自己冒充的执行器,从而实现获取敏感数据以及服务器入侵。 对于xxl-job,SSRF漏洞可以实现如下目的: 获取accessToken: 对于没有使用默认accessToken的调度服务,可以利用该漏洞获取accessToken。 利用accessToken攻...
最开始我从代码层面可是跟踪,但往深处太复杂就换个方向从互联网入手。搜索关键词:xxl-job executor rce,这时找到了一个很久以前的漏洞点进去看,时同一个组建相同的问题。我们现在这个是默认值,这个洞则是空值。看下时间,最早 2022 年就有人复现分析了。那么他的 payload 我们能不能用呢?很显然里面并没有...
综上可以看到,XXL-JOB 后台管理系统由于存在任务管理功能,可执行管理员指定的脚本和指令,故在弱口令(或者存在下文将提及的未授权访问漏洞)的情况下,可被攻击者接管服务器。 2、未授权API->RCE XXL-JOB 分为 admin 和 executor 两端,前者为后台管理页面,后者是任务执行的客户端。但是 2020 年 10 月,XXL-JOB ...
起因: 昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https://github.com/xuxueli/xxl-job/releases/tag
CodeQL是基于2019 微软收购GitHub的时候开源的一个源代码分析引擎,分析引擎是白盒代码工具的核心,有了这个引擎之后,随着网上不断迭代的支持CodeQL的queries规则库,CodeQL也慢慢在源代码审计安全圈活跃起来,比如log4shell这个漏洞就是通过CodeQL发现的。 CodeQL=Code Query Language 和SQL相似,分析引擎在分析完代码后会生成...
CodeQL=Code Query Language 和SQL相似,分析引擎在分析完代码后会生成一个类似DB的文件夹Snapshot Database,里面的文件全是源代码和关系数据,接下来我们通过输入QL语句也就是queries规则可以查到XXL-JOB默认accessToken命令执行的漏洞点,然后对其进行分析。
前几日,运调中心的运维同事暴露出来一些已知BUG,其中一项是关于XXL-JOB调度工具的一些BUG。今天就关于AccessToken权限绕过漏洞做一些处理。XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 在使用时使用了默认的AccessToken ,攻击者可