java 远程执行linux命令_XXLJOB 远程命令执行漏洞

最新推荐文章于 2024-05-14 21:31:55 发布
最新推荐文章于 2024-05-14 21:31:55 发布
阅读量1.3k 收藏 2
点赞数
文章标签: java 远程执行linux命令

近日,深信服安全团队发现XXL-JOB调用未授权API接口导致远程命令执行漏洞攻击。XXL-JOB默认不开启API接口认证,攻击者可以通过调用未经授权的API接口,直接发送恶意请求,执行任意系统命令,达到控制服务器的效果,危害性较大。

漏洞名称 : XXL-JOB 远程命令执行漏洞

威胁等级 : 高危

影响范围 : XXL-JOB <= 2.2.0

漏洞类型 : 远程命令执行漏洞

利用难度 : 简单

漏洞分析

1 XXL-JOB组件介绍

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。

2 漏洞分析

默认情况下,在XXL-JOB组件2.2.0及以下版本,XXL-JOB API接口未开启身份认证,攻击者可以直接发送精心构造的恶意请求,执行任意系统命令,从而达到控制服务器的效果。

3 漏洞复现 

搭建XXL-JOB 2.2.0版本环境,发送精心构造的恶意请求,可以执行任意系统命令,效果如下。

最低0.47元/天 解锁文章
weixin_39847887
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API集
XXL-JOB executor 授权访问漏洞
qq_59201520的博客
03-28 7863
XXL-JOB executor 授权访问漏洞漏洞复现和一些理解思考以及复现过程中的问题和解决
手撸XXL-JOB(四)——远程调用定时任务
最新发布
weixin_55850954的博客
05-14 1036
Socket是Java网络编程的基本组件之一,用于在应用程序之间提供双向通信,Socket提供了一种标准的接口,允许应用程序通过网络发送和接收数据,在Java中,Socket可以分为客户端Socket和服务端Socket两种类型。YangJobClientManager负责监听端口和管理定时任务的执行,它会监听我们配置的yang-job.execute.port端口号,然后当接收到消息时,将消息转为入参,并取出对应的定时任务执行类,执行对应的代码。
XXL-JOB executor授权访问漏洞
jammny
12-04 8421
漏洞详情 XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。 漏洞影响 XXL-JOB <= 2.2.0 漏洞分析 XXL-JOB的Restful API分为两种,一个调度中心Restful API,一个执行器Restful API。其中在执行器Restful API的任务触发声明中,发送请求的数据格式为: 地址格式: {执行器内嵌服务..
xxl-job远程命令执行漏洞复现
Bird&Bird
12-15 1万+
目录1、漏洞描述2、靶场搭建3、漏洞复现(反弹shell) 1、漏洞描述 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,授权的攻击者可以通过RESTful API执行任意命令。 2、靶场搭建 靶场使用vulhub 进入vulhub/xxl-job/unacc目录下,执行docker-
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 3050
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
Java中通过jsch来连接远程服务器执行linux命令
10-22
Java开发中,有时我们需要通过程序自动化执行远程Linux服务器上的命令。JSCH(JSch是Java Secure Channel的缩写)是一个纯Java实现的SSH2库,它可以让你连接到SSH服务器,执行命令,甚至进行文件传输。本文将详细...
基于Java远程主机批量执行SSH命令设计源码
03-29
这是一个基于Java远程主机批量执行SSH命令的设计,使用Java语言开发,包含35个文件。主要文件类型包括24个Java源文件、3个XML文件、2个Properties文件、1个gitignore文件、1个LICENSE文件、1个BAT批处理文件、1个...
Java远程连接Linux服务器并执行命令及上传文件功能
08-27
Java远程连接Linux服务器并执行命令及上传文件功能 本文主要介绍了如何使用Java语言远程连接Linux服务器并执行命令及上传文件的功能。该功能主要通过使用JSch库和Apache Commons Logging库来实现远程连接和文件上传...
java执行Linux命令的方法
09-04
主要介绍了java执行Linux命令的方法,涉及对Java中Runtime.exec()函数的应用,具有一定的参考借鉴价值,需要的朋友可以参考下
java开发的swing客户端,远程执行linux命令.zip
05-16
3. **命令执行**:通过SSH通道发送命令Linux服务器,并获取命令的输出。 4. **错误处理**:处理网络中断、认证失败、命令执行错误等异常情况。 5. **GUI设计**:使用Swing组件设计用户友好的界面,例如输入命令的...
漏洞分析|XXL-JOB accessToken 存在身份认证绕过漏洞
xuandaoren的博客
11-09 2837
官方已修复该漏洞,建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。XXL-JOB是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。Web IDE:任务以源码方式维护在调度中心,支持通过Web IDE在线开发、维护。动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行。Shell、Python、NodeJS、PHP、PowerShell……XXL-JOB为了灵活支持多语言以及脚本任务,提供了创新的 “
XXL-JOB 任务调度中心 后台任意命令执行漏洞
热门推荐
LiBai'S BLOG
10-17 3万+
在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量结算,计算当日的订单量,当日的成本收入等。当存在大量定时任务的时候,任务的管理也会成为一个比较头痛的问题。XXL-JOB 任务调度中心系统存在后台命令执行漏洞,攻击者可以通过反弹shell执行任意命令,获取服务器管理权限。
XXL-JOB任务调度中心后台命令执行漏洞
失心少年
08-20 1544
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限。5、查看网站有回显,命令被成功执行。2、选择任务管理模块,新增任务。4、操作选择执行一次。
能解析此远程名称_Xxl Job授权远程代码执行漏洞
weixin_39757626的博客
12-04 848
Xxl Job 受影响的版本存在一个授权的接口,通过该接口可以反序列化传入的序列化数据。当攻击者传入恶意的序列化数据时,会导致服务器端的任意代码执行,最终成功接管服务器。漏洞名称 :Xxl Job授权远程代码执行漏洞威胁等级 : 高危影响范围:Xxl Job <= 2.1.0漏洞类型 :远程代码执行利用难度 : 简单 漏洞分析 1Xxl Job组件介绍Xx...
xxl-job-执行器-RESTful-API-授权访问-RCE
qq_41659863的博客
10-24 2807
xxl-job-执行器 后台 漏洞复现
xxl-job定时任务调度中心的配置以及整合到自己的项目中实现远程调用
qq_60614034的博客
04-16 3332
虽然我们成功跑起来了,但是大伙还是有很多疑惑,比如怎么配置自己的定时任务,以及如何在自己的项目中使用定时任务,接下来才是重点。该任务的名字叫test。我们想要在自己的项目中调用该服务还是需要启动xxl-job-admin服务。localhost:xxl-job-admin的端口号/jobinfo。如果以后想要添加自己的定时任务,只需要在这个模块里面写就行了。端口记得跟自己的xxl-job-admin服务端口对应。导入xxl-job-core依赖到我们的项目中。上面的注解用来表示该任务的名称。
XXL-JOB v2.4.0 发布 | 安全漏洞修复
许雪里
03-23 1815
XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-L8Hjsl4t-1586859195388)(https://upload-images.jianshu.io/upload_images/3165072-2124d438362d68e5.png “在这里输入图片标题”)]
xxl-job反序列化漏洞分析复现
panda的博客
10-20 3838
xxl-job反序列化分析复现
Java远程执行Linux命令
07-15
Java可以通过SSH协议远程连接到Linux服务器,并执行命令。具体步骤如下: 1. 使用JSch库连接到Linux服务器,需要提供服务器的IP地址、用户名和密码。 2. 打开一个会话(Session),并连接到服务器。 3. 执行命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值