xxl-job 执行器 RESTful API 未授权访问 RCE

最新推荐文章于 2024-04-02 09:42:41 发布
最新推荐文章于 2024-04-02 09:42:41 发布
阅读量1.8k 收藏
点赞数
分类专栏: java Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/109597677
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:

  • https://www.buaq.net/go-43356.html
  • https://github.com/jas502n/xxl-job
  • https://landgrey.me/blog/18/

环境搭建

  1. 下载源码
    git clone https://github.com/xuxueli/xxl-job.git
  2. 打开文件
    xxl-job/xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/resources/application.properties
    修改参数值,防止文件路径不存在报错

xxl.job.executor.logpath=./jobhandler
3. 最后启动 spring-boot 应用 主类位置:
xxl-job/xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/java/com/xxl/job/executor/XxlJobExecutorApplication.java

先要开启
参考:
https://www.renren.io/detail/13522

然后这个8080端口需要连接上数据库才能登陆进去。
9999端口是存在漏洞被利用的端口。

在这里插入图片描述

caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一次代码审计到RCE的实战渗透案例
weixin_40418457的博客
04-30 981
某次做项目的时候遇到了XXL-JOB,当时并公开任何xxl-job的漏洞,于是有了下面的代码审计,找到一处API接口的RCE,拿下一个严重漏洞。 一、XXL-JOB简介 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。简单来说,xxl-job用于管理分布式任务,若任务的管理功能出现授权访问,将造成相当大的影响。 二、代码审计 1.下载xxl-job的源码,查看项目的开发框架、根据框架特性查找所有的API接口 访
快速学习-XXL-JOB调度中心/执行器 RESTful API
逍遥云恋
09-23 5636
六、调度中心/执行器 RESTful API XXL-JOB 目标是一种跨平台、跨语言的任务调度规范和协议。 针对Java应用,可以直接通过官方提供的调度中心与执行器,方便快速的接入和使用调度中心,可以参考上文 “快速入门” 章节。 针对非Java应用,可借助 XXL-JOB 的标准 RESTful API 方便的实现多语言支持。 调度中心 RESTful API: 说明:调度中心提供给执行器使用的API;不局限于官方执行器使用,第三方可使用该API来实现执行器API列表:执行器注册、任务结果回调等
goby-win-x64-1.8.239.zip
05-25
扫描工具
XXL-JOB executor 授权访问漏洞
qq_59201520的博客
03-28 8187
XXL-JOB executor 授权访问漏洞的漏洞复现和一些理解思考以及复现过程中的问题和解决
xxl-job-执行器-RESTful-API-授权访问-RCE
qq_41659863的博客
10-24 2837
xxl-job-执行器 后台 漏洞复现
【漏洞库】XXL-JOB executor 授权访问漏洞导致RCE
yuan_boss的博客
11-03 986
XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。注意,我们编写的EXP只能用一次,如果第二次用其他命令就无法命令执行了,除非目标的服务重启,我们才能执行其他的命令,不然只能一直使用第一次用的EXP。该问题类似于将一台Mysql、Redis实例,不设置密码并开放给公网,严格来说不能因此说Mysql、Redis有漏洞,只需要设置密码即可。复现环境与复现参考链接:https://vulhub.org/#/environments/xxl-job/unacc/
xxl-job弱口令登录后台RCE复现渗透测试
kelenwait的博客
06-27 3813
简介 XXL-JOB是一个轻量级分布式任务调度平台,使用JAVA语言研发,使用其可以轻松的实现分布式任务调度,任务管理、执行、监控等功能,在国内颇受欢迎,目前已有多家公司接入xxl-job。 任务官方地址中文版:http://www.xuxueli.com/xxl-job 漏洞影响 xxl-job 全版本,获取后台权限可以管理所有的任务管理,甚至可以执行指令,接管服务器。 漏洞复现 1.登录界面如下使用弱口令登录系统 admin/123456 2.选择 任务管理 - 新增 填写以下信息 运行模式使用 GL
xxl-job-springboot_xxl-job_
10-03
通常需要添加XXL-Job的相关依赖,并配置相应的调度和执行器地址,以便让SpringBoot应用成为XXL-Job的执行节点。 3. **源代码分析** 压缩包中的`xxl-job-springboot`可能包含了一个示例或者模板项目,该项目演示了...
xxl-job-admin-2.3.0-SNAPSHOT
07-19
7. **RESTful API**:XXL-JOB提供了RESTful接口,可以方便地与外部系统交互,例如通过API来触发任务、查询任务状态等。 8. **Linux环境**:标签中提到了“linux”,意味着XXL-JOB可以在Linux服务器上稳定运行,这...
xxl-job实战源码
03-24
- RESTful API:调度中心与执行器之间的通信基于HTTP,使用RESTful API进行任务调度和状态同步。 3. **数据存储** - MySQL存储:任务信息、调度日志等数据存储在MySQL数据库中,便于查询和管理。 4. **消息队列*...
springboot-restful-starter:SpringBoot RESTful API脚手架
02-05
springboot-restful-starter SpringBoot RESTful API脚手架简介这是一个基于SpringBoot 2.1.1 RELEASE ,用于构建RESTful API工程的脚手架,只需三分钟你就可以开始编写业务代码,不再烦恼于建造项目与风格统一。...
xxl-job本地jar包
06-30
4. **API接口**:XXL-JOB提供了丰富的RESTful API,使得可以通过编程方式对任务进行控制,如启动、停止、触发执行等,便于集成到现有的系统中。 5. **SpringBoot集成**:标签中的"springboot"表明这个压缩包可能...
Goby 内测版1.8.221 | 启动爬虫,继续助力红队
m0_46699477的博客
11-09 1008
针对近期连续性的地方hvv,本次更新继续助力红队队员!除了一大大大波近期新爆出的漏洞及hvv漏洞,还新增了蜜罐识别类型及特征,以及终于支持了网页爬虫! 文章看到底,找此版本的获取方式↓文章看到底,找此版本的获取方式↓ 0x001 新增漏洞 新增漏洞高达30条:包含CVE-2020-14882/CVE-2020-14750、CVE-2020-14883、XXL-JOB API Unauthenticated RCE、VMware等新爆漏洞, Weaver_e-Bridge_File_Read、Yonyou
分布式任务调度平台XXL-JOB深度实战
lonelymanontheway的博客
08-27 1870
概述:简介,架构,数据表解释,安装启动; 实战:配置文件,配置类,API封装工具类,执行器(自动注册和手动注册对比),4种任务开发方式(基于API实现批量提交用户任务),批量修改任务失败告警人信息...
XXL-JOB executor 授权访问漏洞复现
2301_76467680的博客
06-26 342
ip+端口 //8080管理端 9999客户端。向客户端发送如下数据包。//host为IP地址。
xxl-job反序列化漏洞分析复现
panda的博客
10-20 4006
xxl-job反序列化分析复现
探索XXL-JOB-RCE:一款强大的远程代码执行工具
最新发布
gitblog_00074的博客
04-02 771
探索XXL-JOB-RCE:一款强大的远程代码执行工具 项目地址:https://gitcode.com/mrknow001/xxl-job-rce 项目简介 XXL-JOB-RCE 是一个针对 XXL-JOB 远程命令执行漏洞的利用工具。XXL-JOB 是一个轻量级分布式任务调度平台,广泛用于企业中进行定时任务的管理和执行。然而,XXL-JOB 在某些版本存在安全缺陷,允许攻击者通过精心构造的...
xxl-job访问令牌错误
08-19
这意味着授权的攻击者可以构造恶意请求,通过Restful API接口或RPC接口执行任意命令,进而控制服务器。因此,在xxl-job的安全配置中,正确设置和使用访问令牌是非常重要的。<span class="em">1</span><span ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值