XXL-JOB任务调度中心后台命令执行漏洞

最新推荐文章于 2024-03-20 08:01:40 发布
最新推荐文章于 2024-03-20 08:01:40 发布
阅读量1.2k 收藏 8
点赞数 8
分类专栏: 漏洞复现 文章标签: 网络 web安全 java 网络安全 安全 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44304678/article/details/134887484
版权

XXL-JOB任务调度中心后台命令执行漏洞

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

XXL-JOB是一个轻量级分布式任务调度平台,支持通过web页面对任务进行操作,基于Java-spring boot框架开发,利用Maven依赖编译好,开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限

漏洞影响

所有版本

漏洞危害

经过身份验证的攻击者可通过该漏洞接管服务器,造成严重信息泄露

网络测绘

app=“XXL-JOB” || title=“任务调度中心”

漏洞复现

1. 使用弱口令登录admin/123456登录后台

在这里插入图片描述

2. 保证能够正常执行代码需要先查看执行器管理xxl-job-executor是否正常连接。

在这里插入图片描述

3. 选择任务管理模块,新增任务

在这里插入图片描述

4. 点击 GLUE IDE编辑脚本,输入命令->保存

在这里插入图片描述

在这里插入图片描述在这里插入图片描述

修复建议

更新到最新版本。将服务放在内网环境,增加token认证

小胡yhu
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xxl-job任务调度中心集群部署详细文档
01-19
本篇文档将详细阐述如何进行XXL-JOB调度中心的集群部署,以及如何利用Nginx进行负载均衡配置,以确保任务调度的高可用性和避免重复执行任务的问题。 首先,我们来了解一下XXL-JOB调度中心集群部署的基本要求: 1. ...
浅析xxl-obj分布式任务调度平台RCE漏洞
道阻且长,行则将至。
12-29 3195
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
XXL-JOB executor 未授权访问漏洞
qq_59201520的博客
03-28 8018
XXL-JOB executor 未授权访问漏洞漏洞复现和一些理解思考以及复现过程中的问题和解决
xxl-job反序列化漏洞分析复现
panda的博客
10-20 3931
xxl-job反序列化分析复现
xxl-job远程命令执行漏洞复现
Bird&Bird
12-15 1万+
目录1、漏洞描述2、靶场搭建3、漏洞复现(反弹shell) 1、漏洞描述 XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。 2、靶场搭建 靶场使用vulhub 进入vulhub/xxl-job/unacc目录下,执行docker-
XXL-JOB 默认 accessToken 身份绕过导致 RCE
千寻的博客
11-04 1557
XXL-JOB 默认配置下,用于调度通讯的` accessToken `不是随机生成的,而是使用 `application.properties `配置文件中的默认值。 在实际使用中如果没有修改默认值,攻击者可利用此`绕过认证调用 executor`,执行`任意代码`,从而`获取服务器权限`。
XXL-JOB任务调度中心后台默认弱口令漏洞
chaojixiaojingang
04-13 2173
1.漏洞描述 XXL-JOB任务调度中心后台存在默认弱口令漏洞,攻击者可通过输入默认的弱口令,进入后台,可进行进一步攻击。 2.资产查找 FOFA:app="XXL-JOB" || title="任务调度中心" 3.漏洞复现 1)进入登录页面 http://xx.xx.xx.47:xx/toLogin 2)输入用户名和密码如下,即可进入系统后台 USER: admin PASS: 123456 ...
XXL-JOB分布式任务调度系统培训PPT
08-09
"XXL-JOB分布式任务调度系统培训PPT" XXL-JOB分布式任务调度系统是当前 Java 生态中的一种流行的分布式任务调度系统。它提供了多种功能特性,如支持 cron 表达式、支持多种任务类型、支持任务优先级、支持任务依赖...
分布式调度任务XXL-JOB架构图
02-11
1. 分布式调度中心XXL-JOB架构图的核心组件是分布式调度中心,它负责任务的调度和执行。该中心包含了调度池、执行器池和日志管理等模块。 2. 调度池:调度池是分布式调度中心的核心组件,负责任务的调度和执行。...
xxl-job 任务调度源码包
01-18
xxl-job 任务调度源码包,试了,可以打开管理页面。执行tables_xxl_job.sql 到mysql数据库,配置数据信息就可以打开任务调度主页面。运行spring-boot application,打开页面像:...
分布式任务调度平台XXL-JOB(Oracle版)
07-14
这里分享自己已经跑起来的Oracle版本分布式任务调度平台XXL-JOB资源。 官方只有Mysql版本的DEMO,由于近期单位项目需要,将原来DEMO稍作修改后改成了oracle版本,主要修改工作包括修改配置文件,数据库连接方式,pom...
XXL-JOB 任务调度中心 后台任意命令执行漏洞
热门推荐
LiBai'S BLOG
10-17 3万+
在日常开发中,经常会用定时任务执行某些不紧急又非常重要的事情,例如批量结算,计算当日的订单量,当日的成本收入等。当存在大量定时任务的时候,任务的管理也会成为一个比较头痛的问题。XXL-JOB 任务调度中心系统存在后台命令执行漏洞,攻击者可以通过反弹shell执行任意命令,获取服务器管理权限。
漏洞实战(2):XXL-JOB默认密钥漏洞
OneMoreThink
03-20 2046
原理危害攻击搜索服务部署服务安装Java安装Maven安装XXL-JOB利用漏洞防御1、原理XXL-JOB[1]是一个分布式任务调度平台,分为调度中心执行器两部分。在最新的两个版本中(2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本),XXL-JOB默认启用accessToken,在调度中心执行器之间进行调度通讯时,用于证明自己的身份。accessToken的...
XXL-JOB远程命令执行漏洞
weixin_68647219的博客
11-07 625
经工作发现,该漏洞是由于XXL-JOB 在默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值,如果用户没有修改该默认值,攻击者可利用该默认值在未授权的情况下绕过认证可能导致攻击者远程代码执行。2.资产测绘。
xxl-job 2.2之后版本高版本executor未授权访问漏洞
一个码农的笔记
09-28 8101
xxl-job executor 高版本未授权访问漏洞利用
xxl-job-执行器-RESTful-API-未授权访问-RCE
qq_41659863的博客
10-24 2820
xxl-job-执行后台 漏洞复现
【分布式任务调度】(四)XXL-JOB任务调度执行流程及实现原理
积木成林,聚沙成塔
10-29 2万+
调度中心调用执行器,执行定时任务。执行器回调调度中心,上报定时任务执行结果。在调度和执行的整个流程中,XXL-JOB使用了大量的异步操作,减少调度中心的资源压力,以此在集中式调度配置与性能之间找到平衡点。异步实践通过线程池来执行异步操作通过自旋线程 + 阻塞队列的方式来执行异步操作。
xxl-job任务调度
最新发布
03-23
xxl-job是一个分布式任务调度平台,用于解决大规模分布式任务调度问题。它具有以下特点和功能: 1. 分布式架构:xxl-job采用分布式架构,可以支持大规模任务的并发执行和调度。 2. 调度中心xxl-job提供了一个调度中心,用于管理和调度任务。用户可以在调度中心配置任务的执行时间、执行频率等信息。 3. 执行器:xxl-job提供了执行器,用于实际执行任务。执行器可以部署在不同的服务器上,通过与调度中心进行通信,接收任务并执行。 4. 任务管理:xxl-job提供了任务的新增、修改、删除等管理功能。用户可以通过调度中心对任务进行管理和配置。 5. 任务监控:xxl-job提供了任务的监控功能,可以实时查看任务的执行情况、执行日志等信息。 6. 报警机制:xxl-job支持任务执行失败时的报警机制,可以通过邮件、短信等方式通知管理员。 7. 可视化界面:xxl-job提供了一个可视化的管理界面,方便用户进行任务的配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值