XXL-JOB任务调度中心后台命令执行漏洞

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

XXL-JOB是一个轻量级分布式任务调度平台,支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限

漏洞影响

所有版本

漏洞危害

经过身份验证的攻击者可通过该漏洞接管服务器,造成严重信息泄露

网络测绘

app=“XXL-JOB” || title=“任务调度中心”

漏洞复现

1. 使用弱口令登录admin/123456登录后台

在这里插入图片描述

2. 保证能够正常执行代码需要先查看执行器管理xxl-job-executor是否正常连接。

在这里插入图片描述

3. 选择任务管理模块,新增任务

在这里插入图片描述

4. 点击 GLUE IDE编辑脚本,输入命令->保存

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

修复建议

更新到最新版本。将服务放在内网环境,增加token认证

  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值