PowerJob 未授权访问漏洞

最新推荐文章于 2023-09-21 09:52:29 发布
最新推荐文章于 2023-09-21 09:52:29 发布
阅读量475 收藏
点赞数
分类专栏: 未授权访问漏洞分析 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afeng12345678/article/details/132028427
版权

PowerJob 未授权访问漏洞

近期PowerJob爆发因未授权访问导致远程代码执行漏洞,本人曾在年初对此项目进行过源代码审计并输出两篇报告,因此决定借此机会发布文章水一下博客。

项目介绍

PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员轻松地在自己的应用程序中调度任务。

项目地址

https://github.com/PowerJob/PowerJob
https://gitee.com/KFCFans/PowerJob
https://www.yuque.com/powerjob/guidence

漏洞概述

PowerJob存在未授权访问漏洞,该漏洞源于powerjob-server\powerjob-server-starter\src\main\java\tech\powerjob\server\web\controller路径下的全部Controller层的Restful接口均未添加访问控制,导致攻击者无需身份认证即可获取系统敏感信息。

影响版本

PowerJob <= 4.2.0
环境搭建
本次漏洞环境搭建有两种方式可选:
①:参考官方的docker-compose快速部署方案:
https://www.yuque.com/powerjob/guidence/docker-compose
②:在windows的idea中进行项目配置和打包将jar包部署到linux环境下运行,具体如下:

1、下载源码,解压后导入IDEA,使用maven进行依赖编译。
最新稳定版(4.2.0)源码下载地址:
https://github.com/PowerJob/PowerJob/tags
在这里插入图片描述

2、在POM文件中加入官方处理器(powerjob-official-processors)依赖
文件路径:PowerJob-4.2.0\powerjob-worker-samples\pom.xml
在这里插入图片描述

3、初始化数据库。
在这里插入图片描述

sql文件路径:
PowerJob-4.2.0\others\powerjob-mysql.sql
数据源配置文件路径:
PowerJob-4.2.0\powerjob-server\powerjob-server-starter\src\main\resources\application-daily.properties
4、启动PowerJobServerApplication
访问PowerJob控制台,初始化应用。
访问Web页面:http://localhost:7700/
在这里插入图片描述

点击应用注册按钮,填写应用名称(appName)和密码。
例如:apptest/123456
在这里插入图片描述

5、初始化 PowerJob-worker。
在配置文件中配置powerjob.worker.app-name信息,该字段与注册时填写的appname一致。
配置文件路径:
PowerJob-4.2.0\powerjob-worker-samples\src\main\resources\application.properties
在这里插入图片描述

配置完成后重启SampleApplication服务。
访问控制台,输入刚才注册的账号密码进行登录,登录成功后即可在首页看到机器信息。
在这里插入图片描述

6、将当前windows环境迁移至linux。
6.1:将当前windows中mysql的数据库文件迁移至linux。
转存储windows mysql的数据库文件,导出结构和数据,迁移至linux的mysql中。
6.2:修改springboot配置文件中的ip地址。
PowerJobServerApplication
在这里插入图片描述

SampleApplication
在这里插入图片描述

6.3:依次将两个jar包复制到linux目录下并运行
先运行powerjob-server-starter-4.2.0.jar,再运行powerjob-worker-samples-4.2.0.jar。
运行命令:Java -jar xxx.jar

漏洞复现

未登录状态下,无需任何身份认证,直接访问如下接口即可获取系统敏感信息。

①:/system/listWorker
在这里插入图片描述
②:/job/list
URL:http://172.25.4.233:7700/job/list
在这里插入图片描述
③:/system/overview
URL:http://172.25.4.233:7700/system/overview?appId=1
在这里插入图片描述
④:/instance/list
URL:172.25.4.233:7700/instance/list在这里插入图片描述
⑤:/user/list
URL:172.25.4.233:7700/user/list
备注:需要测试数据
在这里插入图片描述

漏洞分析

未授权漏洞的成因是因为没有处理好权限控制功能,在本项目中未添加任何的权限访问控制。

Web服务相关代码位置如下:
在这里插入图片描述
WebConfig配置了registry.addMapping(“/**”),但未添加拦截配置。
在这里插入图片描述
powerjob-server\powerjob-server-starter\src\main\java\tech\powerjob\server\web\controller路径下的全部Controller层的Restful接口均未添加访问控制。
在这里插入图片描述

修复建议

项目方表示一直将PowerJob按纯内网系统去设计,因此在安全上一直没有过多的处理。由于近期漏洞的影响,项目方也发现还是存在不少外网部署使用的用户,因此在后续版本会全面引入用户身份和权限体系来解决这个问题。

临时缓解措施:目前暂无修复方案,请不要将项目部署在外网。

hkyj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
授权漏洞PowerJob授权访问漏洞(CVE-2023-29922)
做自己喜欢的事,并将其发挥到极致!
06-11 2194
PowerJob是一个开源分布式计算和作业调度框架,它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V4.3.1版本存在安全漏洞,该漏洞源于存在不正确访问控制。受影响版本中由于 JobController#listJobs 方法对用户身份进行校验,攻击者可通过向 /job/list 接口发送POST请求,指定 appId 参数即可列出对应的正在运行的任务列表以及它们的状态信息
【严重】PowerJob<=4.3.3 远程代码执行漏洞
murphysec的博客
08-01 402
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 对网关进行鉴权,4.3.3 及之前版本中,授权的攻击者可向 /instance/detail 端点发送恶意构造的 instanceId 参数远程执行任意代码。PowerJob
PowerJob 授权访问导致命令执行漏洞
afeng12345678的博客
07-31 955
PowerJob的官方推荐组件powerjob-official-processors中存在命令执行漏洞,攻击者可授权加载恶意shell脚本执行系统命令。
【中危】PowerJob 授权访问漏洞 (CVE-2023-36106)
OSCS开源安全社区
08-22 345
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。在 PowerJob 受影响版本中存在错误的访问控制漏洞。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
CVE-2023-37754 PowerJob 授权访问导致远程代码执行漏洞
afeng12345678的博客
07-31 1492
PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 对网关进行鉴权,4.3.3 及之前版本中,授权的攻击者可构造恶意的数据包远程执行任意代码。
动态代理,UndeclaredThrowableException异常
忆亦何为的博客
10-10 477
最近学习动态代理,遇见UndeclaredThrowableException异常,记录一下。
PowerJob-其他
06-11
PowerJob是全新一代分布式调度与计算框架,支持CRON、API、固定频率、固定延迟等调度策略,提供工作流来编排任务解决依赖关系,使用简单,功能强大,文档齐全,能让您轻松完成作业的调度与繁杂任务的分布式计算。...
Powerjob的上手代码
06-26
PowerJob是一款优秀的分布式任务调度平台,专为Java开发者设计,尤其适合微服务架构下的任务调度需求。本项目“Powerjob的上手代码”是针对初学者的实践教程,旨在帮助新接触PowerJob的开发人员快速理解和掌握其核心...
PowerJob源代码
03-18
PowerJob是全新一代分布式调度与计算框架,支持CRON、API、固定频率、固定延迟等调度策略,提供工作流来编排任务解决依赖关系,使用简单,功能强大,文档齐全,能让您轻松完成作业的调度与繁杂任务的分布式计算。...
PowerJob v4.3.9.zip
04-02
PowerJob是一款高效、稳定、易用的企业级分布式任务调度框架,它可以帮助开发者在分布式环境下进行任务的调度。在PowerJob v4.3.9版本中,我们能看到它继续优化了性能,增强了稳定性,并可能引入了新的特性或修复了...
PowerJob 任务调度框架 v3.3.3
12-08
为您提供PowerJob 任务调度框架下载,PowerJob是全新一代分布式调度与计算框架,支持CRON、API、固定频率、固定延迟等调度策略,提供工作流来编排任务解决依赖关系,使用简单,功能强大,文档齐全,能让您轻松完成...
使用docker容器部署powerjob-server,发现powerjob-server读取的ip地址不正确。导致我的worker无法注册进去
Libigtong的博客
09-21 2746
我在本地做测试完全没有问题,但是当我把powerjob移到虚拟机的容器里面去部署,发现我的worker无法访问进去。再去查看日志,可以看到日志出现了变化, 现在7700/10010/10086这三个端口都是绑定在正确的虚拟机上面,然后访问网页,可以注册进去了!,把ip换成你的ip地址,神奇的出现了,我本来server是192.168开头的,访问这个ur,赫然发现成了172.19。这里我就感觉非常奇怪了,我本地没问题,并且我部署了server之后,我在网页上也能访问到,但是为什么就是注册不进去呢?
JDK动态代理UndeclaredThrowableException异常
热门推荐
大龙的博客
06-17 2万+
UndeclaredThrowableException异常背景 最近项目上出现了JDK动态代理UndeclaredThrowableException异常,此异常之前没有接触过,那么该异常将会导致什么呢? UndeclaredThrowableException后果:导致该抛出的直接异常信息被包装了好几层,异常看起来很费事,如下图: 产生原因 要了解其原因的前提条件是必须了解检查型...
RPC框架中由jdk动态代理抛出的UndeclaredThrowableException异常原因
thekenofDIS的专栏
04-24 897
我们在使用各种RPC框架的时候经常会遇到UndeclaredThrowableException的情况,一般这种底层是使用了jdk的动态代理。 为什么会产生UndeclaredThrowableException异常呢?通过查阅javadoc官方文档(链接地址:https://docs.oracle.com/javase/6/docs/api/java/lang/reflect/Invocati...
powerjob定时任务报错问题
helam的专栏
05-13 574
powerjob
powerJob报错以及解决办法集锦
qq3892997的博客
08-25 1414
powerJob报错以及解决办法集锦
OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞
OSCS开源安全社区
08-21 1961
OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272) 针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive 等携带远控木马,该系列的组件包具有持续性威胁行为
powerjob的worker启动,研究完了这块代码之后我发现了,代码就是现实中我们码农的真实写照
zcrazy的博客
02-16 2092
这是一篇让你受益匪浅的文章,代码即使人生。
安装powerjob
最新发布
08-08
PowerJob是一款开源的任务调度框架,主要用于高并发、高性能的企业级任务调度。安装PowerJob通常包括以下几个步骤: 1. **下载依赖**:首先需要从GitHub或其他官方仓库下载PowerJob的最新版本。你可以访问[PowerJob GitHub主页](https://github.com/tangfeixiong/PowerJob)获取源码包。 2. **环境配置**:确保你的开发环境中已经安装了Java JDK,并设置好JDK的路径。如果你使用的是Maven或者Gradle作为构建工具,还需要确保它们也已安装并配置在系统路径中。 3. **创建项目**:使用IDEA或者其他支持的集成开发环境(如Eclipse或IntelliJ IDEA),创建一个新的Java Maven或Gradle项目,并将PowerJob的依赖添加到项目的pom.xml或build.gradle文件中。 - Maven示例: ```xml <dependency> <groupId>com.dianping.powerjob</groupId> <artifactId>powerjob-server</artifactId> <version>{latest_version}</version> </dependency> ``` - Gradle示例: ```gradle implementation 'com.dianping.powerjob:powerjob-server:{latest_version}' ``` 4. **集成应用**:将PowerJob的Server模块作为服务部署,通常会启动一个RMI服务器监听注册中心(例如Zookeeper)。客户端代码可以使用提供的API来提交任务和管理任务队列。 5. **配置文件**:PowerJob有一些配置文件需要调整,比如配置任务注册中心地址、日志级别等。这些信息通常存储在application.properties或application.yml文件中。 6. **运行测试**:在完成上述步骤后,可以通过运行示例代码或者编写测试用例来验证PowerJob是否成功安装和集成到你的应用中。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值