[工具分享]--XXL-JOB漏洞一键利用工具

原创于 2025-10-27 13:31:31 发布 · 151 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#测试工具 #java #XXL-JOB

XXL-JOB作为一款轻量级分布式任务调度平台被越来越多企业采用。，在实际部署过程中，由于配置疏忽或版本漏洞，存在被攻击者利用的风险。本文整理并复现了多个XXL-JOB常见安全漏洞，包括弱口令、未授权访问、反序列化漏洞等，旨在为安全研究者和开发者提供参考。

XXL-JOB界面

工具界面：


工具目前支持如下漏洞的检测 : 

    XXL-JOB-Admin 默认登陆密码
    XXL-JOB-Admin 后台RCE  ( 工具支持利用模块 :  内存马注入  )
    XXL-JOB-Admin 前台api未授权 hessian2反序列化  ( 工具支持利用模块 :  命令执行 内存马注入  )
    XXL-JOB-Executor Restful API 未授权访问命令执行  ( 工具支持利用模块 :  命令执行  )
    XXL-JOB-Executor 默认accessToken权限绕过  ( 工具支持利用模块 :  命令执行  )

且支持批量检测。

注意http://ip/可以检测成功，而http://ip/toLogin 则不可以检测，注意去除后缀

fofa查询

app.name="XXL-JOB"||title="任务调度中心"||body="jobconf_trigger_type"||web.icon=="421c7c35244591f892496fe4d6e51921"

通过网盘分享的文件：xxl-jobExploitGUI
链接: https://pan.baidu.com/s/1gkp4mJ7MJ-I7ZfaaA3LnOw?pwd=8880 提取码: 8880

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

臻荣

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

xxl-job 7.32版本安装部署

杨杨杨~~的博客

04-25

1026

XXL-JOB是一个分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。

铲子SAST，简单实用的自动化代码审计工具

热门推荐

qq_59201520的博客

03-28

1万+

XXL-JOB executor 未授权访问漏洞的漏洞复现和一些理解思考以及复现过程中的问题和解决

XXL-JOB反弹shell利用工具（xxl-jobExploitGUI）

11-03

工具实现了XXL-JOB默认accessToken权限绕过漏洞的单个检测、批量检测、一键反弹shell功能，后续会持续更新优化，添加POC检测等。（由于传播、利用此资源所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与资源作者无关。该资源仅供学习用途使用！！！！！！！！！！！！）

XXL-JOB漏洞分析与利用

m0_63828240的博客

08-19

3677

在当今的数字化时代，任务调度平台对于企业级应用来说至关重要。它们负责自动化和协调各种时间敏感或周期性的任务，确保业务流程的顺畅运行。XXL-JOB作为一款流行的分布式任务调度平台，因其强大的功能和易用性，被广泛部署在各种规模的系统中。然而，随着其应用的普及，安全研究人员开始关注这些系统可能存在的潜在风险，一个漏洞的发现可能会导致数据泄露、服务中断甚至整个系统被控制。对于渗透测试人员来说，学习XXL-JOB的漏洞原理，能够在一定程度上提升渗透能力。

【网络安全武器库】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll，渗透必备，红队必备。

网络安全武器库的博客

12-24

903

【网络安全武器库】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll，渗透必备，红队必备。

2435.学习周刊-2024年35周

紫电的学习笔记

09-03

517

一个入门简单、跨平台、企业级桌面软件开发框架。

权限审批流集成实践，打造“申请-审批-生效”闭环的6步流程

# 权限审批流的核心价值与闭环设计思想在企业数字化转型的浪潮中，权限管理早已不再是IT部门后台的一纸配置清单。它正悄然演变为组织治理能力的“神经中枢”——既守护着数据安全的底线，又驱动着业务敏捷响应的...

工具分享 | xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll

IT软件汇

09-08

837

工具分享 | xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll

【小迪渗透吧】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll，渗透必备，红队必备。

xiaodi8的博客

12-25

375

【小迪渗透吧】xxl-jobExploitGUI - xxl-job一键漏洞利用工具+一键getshll，渗透必备，红队必备。

漏洞实战(2)：XXL-JOB默认密钥漏洞

OneMoreThink

03-20

4045

原理危害攻击搜索服务部署服务安装Java安装Maven安装XXL-JOB利用漏洞防御1、原理XXL-JOB[1]是一个分布式任务调度平台，分为调度中心和执行器两部分。在最新的两个版本中（2022年5月21日发布的2.3.1版本、2023年5月23日发布的2.4.0版本），XXL-JOB默认启用accessToken，在调度中心与执行器之间进行调度通讯时，用于证明自己的身份。accessToken的...

XXL-JOB executor未授权访问漏洞

jammny

12-04

8893

漏洞详情 XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施，未授权的攻击者可构造恶意请求，造成远程执行命令，直接控制服务器。漏洞影响 XXL-JOB <= 2.2.0 漏洞分析 XXL-JOB的Restful API分为两种，一个调度中心Restful API，一个执行器Restful API。其中在执行器Restful API的任务触发声明中，发送请求的数据格式为：地址格式： {执行器内嵌服务..

XXL-JOB任务调度中心后台命令执行漏洞

weixin_44304678的博客

12-08

2463

XXL-JOB是一个轻量级分布式任务调度平台，支持通过web页面对任务进行操作，基于Java-spring boot框架开发，利用Maven依赖编译好，开箱即用。XXL-JOB任务调度中心后台存在命令执行漏洞，攻击者可在后台通过写入shell命令任务调度获取服务器控制权限。仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。一旦发生任何违法行为,责任自负。作者对使用该文章导致的任何直接或间接损失不承担任何责任。该文章仅用于授权测试,任何未经授权的测试均属于非法行为。

XXL-JOB 漏洞大全

yggcwhat

09-20

3876

XXL-JOB 漏洞大全

[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用

LiangYueSec的博客

10-08

3277

[漏洞利用]xxl-job Hessian2反序列化漏洞深入利用

XXL-JOB executor 未授权访问漏洞_xxl-job漏洞(1)，2024年最新熬夜肝完这份Framework笔记

2401_84185224的博客

04-10

1361

glueType”:“BEAN”， //任务模式，可选值参考com.xx1.job.core.glue.alueTypeEnum。“executorTimeout”😮， //任务超时时间，单位秒，大于零时生效。“executorB1ockstrategy”:“cOVER_EARLY”, //任务阻塞策略，可选值参考。“gluesource”:“xxx”， //GLUE脚本代码。“jobId”:1， //任务ID。

高效任务调度工具xxl-job-master

任务调度工具xxl-job是一款轻量级、分布式、易扩展的分布式任务调度平台。它适用于构建企业级分布式调度系统，能够满足定时任务、周期任务、异步任务等多种业务需求，支持多种任务类型，如Java方法、Shell、Python等...