XXL-JOB任务调度中心后台命令执行漏洞

最新推荐文章于 2024-05-01 10:30:00 发布
最新推荐文章于 2024-05-01 10:30:00 发布
阅读量1.2k 收藏 8
点赞数 8
分类专栏: 漏洞复现 文章标签: 网络 web安全 java 网络安全 安全 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44304678/article/details/134887484
版权

XXL-JOB任务调度中心后台命令执行漏洞

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

XXL-JOB是一个轻量级分布式任务调度平台,支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限

漏洞影响

所有版本

漏洞危害

经过身份验证的攻击者可通过该漏洞接管服务器,造成严重信息泄露

网络测绘

app=“XXL-JOB” || title=“任务调度中心”

漏洞复现

1. 使用弱口令登录admin/123456登录后台

在这里插入图片描述

2. 保证能够正常执行代码需要先查看执行器管理xxl-job-executor是否正常连接。

在这里插入图片描述

3. 选择任务管理模块,新增任务

在这里插入图片描述

4. 点击 GLUE IDE编辑脚本,输入命令->保存

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

修复建议

更新到最新版本。将服务放在内网环境,增加token认证

小胡yhu
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现XXL-JOB 任务调度中心后台任意命令执行漏洞
记录并分享学习安全的知识点..
07-27 1668
XXL-JOB 任务调度中心攻击者可以在后台可以通过写入shell命令任务调度获取服务器权限。
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 3208
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
XXL-JOB executor 未授权访问漏洞
最新发布
m0_59598029的博客
05-01 2238
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。:<=2.2.0。
XXL-JOB 任务调度中心 后台任意命令执行漏洞
热门推荐
LiBai'S BLOG
10-17 3万+
在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量结算,计算当日的订单量,当日的成本收入等。当存在大量定时任务的时候,任务的管理也会成为一个比较头痛的问题。XXL-JOB 任务调度中心系统存在后台命令执行漏洞,攻击者可以通过反弹shell执行任意命令,获取服务器管理权限。
XXL-JOB远程命令执行漏洞
weixin_68647219的博客
11-07 642
经工作发现,该漏洞是由于XXL-JOB 在默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值,如果用户没有修改该默认值,攻击者可利用该默认值在未授权的情况下绕过认证可能导致攻击者远程代码执行。2.资产测绘。
xxl-job任务调度中心集群部署详细文档
01-19
本篇文档将详细阐述如何进行XXL-JOB调度中心的集群部署,以及如何利用Nginx进行负载均衡配置,以确保任务调度的高可用性和避免重复执行任务的问题。 首先,我们来了解一下XXL-JOB调度中心集群部署的基本要求: 1. ...
XXL-JOB分布式任务调度系统培训PPT
08-09
"XXL-JOB分布式任务调度系统培训PPT" XXL-JOB分布式任务调度系统是当前 Java 生态中的一种流行的分布式任务调度系统。它提供了多种功能特性,如支持 cron 表达式、支持多种任务类型、支持任务优先级、支持任务依赖...
分布式调度任务XXL-JOB架构图
02-11
1. 分布式调度中心XXL-JOB架构图的核心组件是分布式调度中心,它负责任务的调度和执行。该中心包含了调度池、执行器池和日志管理等模块。 2. 调度池:调度池是分布式调度中心的核心组件,负责任务的调度和执行。...
xxl-job 任务调度源码包
01-18
xxl-job 任务调度源码包,试了,可以打开管理页面。执行tables_xxl_job.sql 到mysql数据库,配置数据信息就可以打开任务调度主页面。运行spring-boot application,打开页面像:...
分布式任务调度平台XXL-JOB(Oracle版)
07-14
这里分享自己已经跑起来的Oracle版本分布式任务调度平台XXL-JOB资源。 官方只有Mysql版本的DEMO,由于近期单位项目需要,将原来DEMO稍作修改后改成了oracle版本,主要修改工作包括修改配置文件,数据库连接方式,pom...
当下的网络安全行业前景到底怎么样?还能否入行?
2201_75735270的博客
11-16 98
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
XXL-JOB后台getshell
zeroc009的博客
04-06 4219
XXL-JOB后台getshell XXL-JOB简介 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。 后台getshell步骤 使用弱口令登陆平台 新建一个任务,然后执行 返回GLUE进行编辑,反弹shell 然后vps收到反弹shell ...
xxl-job 2.2之后版本高版本executor未授权访问漏洞
一个码农的笔记
09-28 8142
xxl-job executor 高版本未授权访问漏洞利用
漏洞实战(2):XXL-JOB默认密钥漏洞
OneMoreThink
03-20 2068
原理危害攻击搜索服务部署服务安装Java安装Maven安装XXL-JOB利用漏洞防御1、原理XXL-JOB[1]是一个分布式任务调度平台,分为调度中心执行器两部分。在最新的两个版本中(2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本),XXL-JOB默认启用accessToken,在调度中心执行器之间进行调度通讯时,用于证明自己的身份。accessToken的...
后台登录xxl-job-admin,实现后端对定时任务的增删改查
weixin_45753881的博客
04-03 1317
通过java代码实现xxl-job-admin的登录和xxl job的增删改查
xxl-job】RCE未授权远程命令执行分析+POC测试
Delphinidae
11-05 5573
xxl-job】远程命令执行漏洞 【参考地址】https://github.com/mrknow001/xxl-job-rce 【实际测试】指纹收集,指纹信息是respose 返回如下的可以试试 {“msg”:“invalid request, HttpMethod not support.”} 指纹收集:fofa,shodan ps: 只用于问题验证测试,禁止进行非法活动 ...
漏洞复现----21、XXL-JOB executor 未授权访问漏洞
七天
07-23 2860
文章目录一、漏洞简介二、漏洞环境三、漏洞分析四、漏洞复现 一、漏洞简介 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 二、漏洞环境 docker-compose up -d 访问: http://ip:8080即可查看
xxl-job任务调度
03-23
xxl-job是一个分布式任务调度平台,用于解决大规模分布式任务调度问题。它具有以下特点和功能: 1. 分布式架构:xxl-job采用分布式架构,可以支持大规模任务的并发执行和调度。 2. 调度中心xxl-job提供了一个调度中心,用于管理和调度任务。用户可以在调度中心配置任务的执行时间、执行频率等信息。 3. 执行器:xxl-job提供了执行器,用于实际执行任务。执行器可以部署在不同的服务器上,通过与调度中心进行通信,接收任务并执行。 4. 任务管理:xxl-job提供了任务的新增、修改、删除等管理功能。用户可以通过调度中心对任务进行管理和配置。 5. 任务监控:xxl-job提供了任务的监控功能,可以实时查看任务的执行情况、执行日志等信息。 6. 报警机制:xxl-job支持任务执行失败时的报警机制,可以通过邮件、短信等方式通知管理员。 7. 可视化界面:xxl-job提供了一个可视化的管理界面,方便用户进行任务的配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值