XXL-JOB executor未授权访问漏洞

最新推荐文章于 2024-07-23 09:22:09 发布
最新推荐文章于 2024-07-23 09:22:09 发布
阅读量8.4k 收藏 8
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41832837/article/details/110632861
版权
本文介绍了XXL-JOB分布式任务调度平台存在的未授权访问漏洞,详细阐述了漏洞详情,影响范围,分析了漏洞原因,并提供了漏洞利用的示例,表明攻击者可构造恶意请求执行远程命令,控制服务器,主要影响XXL-JOB 2.2.0及以下版本。
摘要由CSDN通过智能技术生成

漏洞详情

XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。

漏洞影响

XXL-JOB <= 2.2.0

漏洞分析

XXL-JOB的Restful API分为两种,一个 调度中心Restful API,一个 执行器Restful API。其中在执行器Restful API的任务触发声明中,发送请求的数据格式为:

地址格式:
    {执行器内嵌服务跟地址}/run 	//也就是说为executor端的地址,ip:9999/run

Header: 
    XXL-JOB-ACCESS-TOKEN : {请求令牌} 	

请求数据格式如下,放置在 RequestBody 中,JSON格式: 
{ 
    "jobId":1, // 任务ID 
    "executorHandler":"demoJobHandler", // 任务标识 
    "executorParams":"demoJobHandler", // 任务参数 
    "executorBlockStrategy":"COVER_EARLY", // 任务阻塞策略࿰
最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXL-JOB executor 授权访问漏洞
玄道的网安博客
12-23 1666
漏洞概述 XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有配置认证措施,授权的攻击者可构造恶意请求,触发反序列化,造成远程执行命令 影响版本 XXL-JOB <= 2.2.0 环境搭建 进入目录 cd vulhub-master/xxl-job/unacc/ 启动2.2.0版本的XXL-JOB docker-compose up -d http://your-ip:8080是管理端(admin) http://your-ip:.
漏洞库】XXL-JOB executor 授权访问漏洞导致RCE
yuan_boss的博客
11-03 1036
XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。注意,我们编写的EXP只能用一次,如果第二次用其他命令就无法命令执行了,除非目标的服务重启,我们才能执行其他的命令,不然只能一直使用第一次用的EXP。该问题类似于将一台Mysql、Redis实例,不设置密码并开放给公网,严格来说不能因此说Mysql、Redis有漏洞,只需要设置密码即可。复现环境与复现参考链接:https://vulhub.org/#/environments/xxl-job/unacc/
SSRF:服务端请求伪造
最新发布
h1008685的博客
07-23 1029
SSRF漏洞通常是因为服务端应用程序提供了从其他服务器获取数据的功能,但对目标地址或协议进行适当的过滤和限制。攻击者可以通过这个漏洞发送构造好的恶意请求,让服务器以自己的身份去访问其他资源,与文件包含漏洞有些许相似。根据源码分析,发现网站后台对请求并没有进行限制,且用户前端可对参数进行控制,产生了ssrf漏洞,4.设置curl选项,关闭http头部信息的返回,只返回主体内容。6.执行curl会话,发起请求并将响应内容赋值给变量&RES。3.初始化curl会话,用于设置其他选项和执行请求。
当下的网络安全行业前景到底怎么样?还能否入行?
2201_75735270的博客
11-16 109
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
XXL-JOB executor 授权访问漏洞_xxl-job漏洞(1),2024年最新熬夜肝完这份Framework笔记
2401_84185224的博客
04-10 848
glueType”:“BEAN”, //任务模式,可选值参考com.xx1.job.core.glue.alueTypeEnum。“executorTimeout”😮, //任务超时时间,单位秒,大于零时生效。“executorB1ockstrategy”:“cOVER_EARLY”, //任务阻塞策略,可选值参考。“gluesource”:“xxx”, //GLUE脚本代码。“jobId”:1, //任务ID。
xxl-job-executor:与xxl-job-executor的集成
04-19
xxl-job-executor的gin中间件背景xxl-job-executor-go是xxl-job的golang执行器,可以独立运行,有时候我们要与项目或者框架(如:gin框架)集成起来合并为一个服务,本项目因此而生。执行器项目地址与gin集成示例...
xxl-job-executor-go-master
06-19
XXL-JOB是一个分布式任务调度平台,而"xxl-job-executor-go-master"则表示这个项目是XXL-JOB的Go语言实现版本的源码仓库。这个仓库是针对XXL-JOB执行器的一个Go语言实现,它使得开发者可以利用Go语言来编写调度任务...
xxl-job-admin、xxl-job-core、xxl-job-executor 的源码引入项目中.docx
07-03
### 将xxl-job-admin、xxl-job-core、xxl-job-executor的源码引入项目中的实践 在探讨如何将这三个组件(xxl-job-admin、xxl-job-core、xxl-job-executor)有效地引入到项目中之前,我们需要先了解它们各自的作用及...
xxl-job适配达梦数据库
02-02
XXL-JOB由两部分组成:调度中心(XXL-JOB-Scheduler)和执行器(XXL-JOB-Executor)。调度中心负责任务的调度策略配置、触发以及监控,而执行器则执行实际的任务逻辑。在适配达梦数据库之前,XXL-JOB通常默认使用...
xxl-job-admin-2.4.1-SNAPSHOT之oracle版
10-09
XXL-JOB是一个分布式任务调度平台,主要由两部分组成:调度中心(xxl-job-admin)和执行器(xxl-job-executor)。本资源“xxl-job-admin-2.4.1-SNAPSHOT”是针对Oracle数据库的版本,意味着它已经配置好与Oracle...
XXL-JOB 针对授权访问导致远程命令执行漏洞的声明
zhenghhgz的博客
10-31 5846
IT实战联盟博客:http://blog.100boot.cn 对于日前 XXL-JOB被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下: 该问题本质上不属于“漏洞”,官网版本提供了鉴权组件,开启即可进行防护。 该问题类似于将一台 Mysql、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql、Redis 有漏洞,只需要设置密码即可。 针对此问题,XXL-JOB 作者提供了.
XXL-JOB executor 授权访问漏洞_xxl-job漏洞,拥有百万粉丝的大牛讲述学网络安全的历程
m0_61549674的博客
04-06 1070
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
漏洞实战(2):XXL-JOB默认密钥漏洞
OneMoreThink
03-20 2516
原理危害攻击搜索服务部署服务安装Java安装Maven安装XXL-JOB利用漏洞防御1、原理XXL-JOB[1]是一个分布式任务调度平台,分为调度中心和执行器两部分。在最新的两个版本中(2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本),XXL-JOB默认启用accessToken,在调度中心与执行器之间进行调度通讯时,用于证明自己的身份。accessToken的...
XXL-JOB任务调度中心后台命令执行漏洞
chaojixiaojingang
04-13 5047
1.漏洞描述 XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限。 2.资产查找 FOFA:app="XXL-JOB" || title="任务调度中心" 3.漏洞复现 1)以默认弱口令admin/123456进入后台 http://ip/toLogin 2)选择任务管理模块,新增任务 (PS:运行模式选择GLUE(Shell)) 3)点击 GLUE IDE编辑脚本,输入命令 4)操作选择执行一次 ...
XXL-JOB executor 授权访问漏洞_xxl-job漏洞,【2024网络安全最新学习路线】
2401_84185224的博客
04-10 448
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
xxl-job访问令牌错误
08-19
- *3* [XXL-JOB executor授权访问漏洞](https://blog.csdn.net/qq_41832837/article/details/110632861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值