漏洞实战(2):XXL-JOB默认密钥漏洞 1、原理 XXL-JOB[1]是一个分布式任务调度平台,分为调度中心和执行器两部分。 在最新的两个版本中(2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本),XXL-JOB默认启用accessToken,在调度中心与执行器之间进行调度通讯时,用于证明自己的身份。 accessToken的默认值是
低版本xxl-job,用户从攻击机向xxl-job-admin发送请求,然后xxl-job-admin将恶意请求转发给xxl-job-executor,或者自己冒充的执行器,从而实现获取敏感数据以及服务器入侵。 对于xxl-job,SSRF漏洞可以实现如下目的: 获取accessToken: 对于没有使用默认accessToken的调度服务,可以利用该漏洞获取accessToken。 利用accessToken攻...
accessToken 本来是为了修复2020年xxl-job 执行器executor RESTful API 未授权访问 RCE 漏洞,为了防止其未授权添加了accessToken校验,但是很多人在使用该框架的时候并未修改其默认的值xxl.job.accessToken=default_token,与shiro的默认key泄漏导致的RCE原理很相似。 POST /run HTTP/1.1Host:127.0.0.1:9999Accept-Encodi...
然而,近期发现XXL-JOB executor存在未授权访问漏洞,可能允许未经授权的用户访问和执行任务。这一漏洞给企业和组织带来了潜在的安全风险。二、漏洞成因该漏洞的主要原因是XXL-JOB executor在访问控制方面存在缺陷。在默认配置下,executor的访问权限没有进行合理的限制,导致任何能够访问executor的用户都可以查看和执行任务。这...
搜索关键词:xxl-job executor rce,这时找到了一个很久以前的漏洞点进去看,时同一个组建相同的问题。我们现在这个是默认值,这个洞则是空值。看下时间,最早 2022 年就有人复现分析了。那么他的 payload 我们能不能用呢?很显然里面并没有提到 accessToken 这个字段,估计是因为空值的话根本不用传参。但是...
漏洞概述 漏洞影响版本:<=2.2.0 executor默认没有配置认证,未授权的攻击者可以通过RESTful API接口执行任意命令。 此漏洞为XXL-JOB配置不当情况下反序列化RCE。 执行器配置文件中说到端口号在默认情况下是9999 复现 本地搭建靶场,使用靶场为vulhub,使用docker运行环境 ...
为了防范XXL-JOB命令执行漏洞,可以采取以下措施: 修改默认口令:在部署XXL-JOB后,立即修改默认的管理员口令,使用强密码策略。 配置访问控制:为执行器配置访问控制,确保只有授权用户才能访问和执行命令。 自定义accessToken:为调度中心和执行器配置相同的、复杂的accessToken,避免使用默认值。 限制端口访问:不要将执行器的...
1. 漏洞详情 此次漏洞核心问题是 GLUE 模式。XXL-JOB 通过“GLUE模式”支持多语言以及脚本任务,该模式任务特点如下: ● 多语言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。 ●Web IDE:任务以源码方式维护在调度中心,支持通过 Web IDE 在线开发、维护。
CodeQL是基于2019 微软收购GitHub的时候开源的一个源代码分析引擎,分析引擎是白盒代码工具的核心,有了这个引擎之后,随着网上不断迭代的支持CodeQL的queries规则库,CodeQL也慢慢在源代码审计安全圈活跃起来,比如log4shell这个漏洞就是通过CodeQL发现的。 CodeQL=Code Query Language 和SQL相似,分析引擎在分析完代码后会生成...
XXL-JOB 在使用时使用了默认的AccessToken ,攻击者可使用 AccessToken 绕过认证权限,调用 executor,执行任意代码,从而获取服务器权限或者一些不可逆的操作。社区已经在漏洞发布出来前已经提前处理并提供了处理结果,大家可以酌情依据处理。 我正在参与2024腾讯技术创作特训营最新征文,快来和我瓜分大奖!