xxl-job 执行器 RESTful API 未授权访问 RCE

最新推荐文章于 2024-05-01 10:30:00 发布
最新推荐文章于 2024-05-01 10:30:00 发布
阅读量1.8k 收藏
点赞数
分类专栏: java Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/109597677
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

  • https://www.buaq.net/go-43356.html
  • https://github.com/jas502n/xxl-job
  • https://landgrey.me/blog/18/

环境搭建

  1. 下载源码
    git clone https://github.com/xuxueli/xxl-job.git
  2. 打开文件
    xxl-job/xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/resources/application.properties
    修改参数值,防止文件路径不存在报错

xxl.job.executor.logpath=./jobhandler
3. 最后启动 spring-boot 应用 主类位置:
xxl-job/xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/java/com/xxl/job/executor/XxlJobExecutorApplication.java

先要开启
参考:
https://www.renren.io/detail/13522

然后这个8080端口需要连接上数据库才能登陆进去。
9999端口是存在漏洞被利用的端口。

在这里插入图片描述

caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXL-JOB executor 授权访问漏洞_xxl-job漏洞,拥有百万粉丝的大牛讲述学网络安全的历程
m0_61549674的博客
04-06 1029
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
xxl-job-执行器-RESTful-API-授权访问-RCE
qq_41659863的博客
10-24 2822
xxl-job-执行器 后台 漏洞复现
XXL-JOB executor 授权访问漏洞
最新发布
m0_59598029的博客
05-01 2238
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。:<=2.2.0。
weblogic生效js_XXLjob 执行器 RESTful API 授权访问RCE
weixin_39704066的博客
12-12 345
漏洞复现看到发漏洞公告是 RESTful API 授权,去官网搜了一下使用手册,总共有两种 RESTful API,一个 调度中心 RESTful API,一个 执行器 RESTful API。测试了一下,发现问题出现在执行器 RESTful API。其中有个触发任务执行的说明:说明:触发任务执行------地址格式:{执行器内嵌服务跟地址}/runHeader: XXL-JOB...
当下的网络安全行业前景到底怎么样?还能否入行?
2201_75735270的博客
11-16 98
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
XXL-JOB executor 授权访问漏洞_xxl-job漏洞,【2024网络安全最新学习路线】
2401_84185224的博客
04-10 421
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
xxl-job-springboot_xxl-job_
10-03
通常需要添加XXL-Job的相关依赖,并配置相应的调度和执行器地址,以便让SpringBoot应用成为XXL-Job的执行节点。 3. **源代码分析** 压缩包中的`xxl-job-springboot`可能包含了一个示例或者模板项目,该项目演示了...
xxl-job-admin-2.3.0-SNAPSHOT
07-19
7. **RESTful API**:XXL-JOB提供了RESTful接口,可以方便地与外部系统交互,例如通过API来触发任务、查询任务状态等。 8. **Linux环境**:标签中提到了“linux”,意味着XXL-JOB可以在Linux服务器上稳定运行,这...
xxl-job实战源码
03-24
- RESTful API:调度中心与执行器之间的通信基于HTTP,使用RESTful API进行任务调度和状态同步。 3. **数据存储** - MySQL存储:任务信息、调度日志等数据存储在MySQL数据库中,便于查询和管理。 4. **消息队列*...
springboot-restful-starter:SpringBoot RESTful API脚手架
02-05
springboot-restful-starter SpringBoot RESTful API脚手架简介这是一个基于SpringBoot 2.1.1 RELEASE ,用于构建RESTful API工程的脚手架,只需三分钟你就可以开始编写业务代码,不再烦恼于建造项目与风格统一。...
xxl-job本地jar包
06-30
4. **API接口**:XXL-JOB提供了丰富的RESTful API,使得可以通过编程方式对任务进行控制,如启动、停止、触发执行等,便于集成到现有的系统中。 5. **SpringBoot集成**:标签中的"springboot"表明这个压缩包可能...
xxl-job:xxl-job二次开发 定时任务,增加API接口添加任务、删除任务等操作
05-16
XXL-JOB是一个轻量级分布式任务调度框架,其核心设计目标是开发Swift、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。 Documentation 二次开发内容 1、数据库连接池修改为druid 2、添加job的 Restful 接口服务,实现通过接口调用添加job Features 1、简单:支持通过Web页面对任务进行CRUD操作,操作简单,一分钟上手; 2、动态:支持动态修改任务状态、暂停/恢复任务,以及终止运行中任务,即时生效; 3、调度中心HA(中心式):调度采用中心式设计,“调度中心”基于集群Quartz实现并支持集群部署,可保证调度中心HA; 4、执行器HA(分布式):任务分布式执行,任务"执行器"支持集群部署,可保证任务执行HA; 5、注册中心: 执行器会周期性自动注册任务, 调度中心将会自动发现注册的任务并触发执行。同时,也支持手动录入
基于Restful接口调用方法总结(超详细)
08-29
下面小编就为大家带来一篇基于Restful接口调用方法总结(超详细)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
goby-win-x64-1.8.239.zip
05-25
扫描工具
【漏洞库】XXL-JOB executor 授权访问漏洞导致RCE
yuan_boss的博客
11-03 965
XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。注意,我们编写的EXP只能用一次,如果第二次用其他命令就无法命令执行了,除非目标的服务重启,我们才能执行其他的命令,不然只能一直使用第一次用的EXP。该问题类似于将一台Mysql、Redis实例,不设置密码并开放给公网,严格来说不能因此说Mysql、Redis有漏洞,只需要设置密码即可。复现环境与复现参考链接:https://vulhub.org/#/environments/xxl-job/unacc/
xxl-jobAPI的方式接入
上善若泪
01-26 2889
xxl-job是一款非常优秀的任务调度中间件,轻量级、使用简单、支持分布式等优点,让它广泛应用在我们的项目中,解决了不少定时任务的调度问题。我们都知道,在使用过程中需要先到xxl-job的任务调度中心页面上,配置执行器executor和具体的任务job,这一过程如果项目中的定时任务数量不多还好说,如果任务多了的话还是挺费工夫的。
xxl-job弱口令登录后台RCE复现渗透测试
kelenwait的博客
06-27 3723
简介 XXL-JOB是一个轻量级分布式任务调度平台,使用JAVA语言研发,使用其可以轻松的实现分布式任务调度,任务管理、执行、监控等功能,在国内颇受欢迎,目前已有多家公司接入xxl-job。 任务官方地址中文版:http://www.xuxueli.com/xxl-job 漏洞影响 xxl-job 全版本,获取后台权限可以管理所有的任务管理,甚至可以执行指令,接管服务器。 漏洞复现 1.登录界面如下使用弱口令登录系统 admin/123456 2.选择 任务管理 - 新增 填写以下信息 运行模式使用 GL
API管理平台XXL-API
jiayoubing的专栏
03-29 302
XXL-API 是一个强大易用的API管理平台,提供API的”管理”、”文档”、”Mock”和”测试”等功能。现已开放源代码,开箱即用。 官网:https://www.xuxueli.com/xxl-api/ ...
XXL-JOB 默认 accessToken 身份绕过导致 RCE
千寻的博客
11-04 1562
XXL-JOB 默认配置下,用于调度通讯的` accessToken `不是随机生成的,而是使用 `application.properties `配置文件中的默认值。 在实际使用中如果没有修改默认值,攻击者可利用此`绕过认证调用 executor`,执行`任意代码`,从而`获取服务器权限`。
xxl-job访问令牌错误
08-19
xxl-job访问令牌错误是指在xxl-job分布式任务调度平台中,访问令牌被错误地使用或提供,导致无法正常访问或执行任务的情况。根据引用和引用的描述,xxl-job默认情况下没有配置认证措施,即没有对访问令牌进行验证。这意味着授权的攻击者可以构造恶意请求,通过Restful API接口或RPC接口执行任意命令,进而控制服务器。因此,在xxl-job的安全配置中,正确设置和使用访问令牌是非常重要的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [xxl-job2.3.0集成nacos配置,注册中心](https://download.csdn.net/download/weixin_44618291/85347103)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [漏洞复现----21、XXL-JOB executor 授权访问漏洞](https://blog.csdn.net/sycamorelg/article/details/118609173)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [XXL-JOB executor授权访问漏洞](https://blog.csdn.net/qq_41832837/article/details/110632861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值