【奇技淫巧】XXL-JOB后台反弹shell

  • A+
所属分类:安全文章

【奇技淫巧】XXL-JOB后台反弹shell


不知道论坛的表哥们有没有遇到过这样的任务调度系统,其实这个漏洞(不知道算不算漏洞)在去年就发现了,现在来分享下。


关于xxl-job的描述,各位表哥可在这里查看https://github.com/xuxueli/xxl-job


fofa搜下关键字xxj-job

【奇技淫巧】XXL-JOB后台反弹shell


因为xxj-job的后台登陆密码没有修改的话默认就能登陆

【奇技淫巧】XXL-JOB后台反弹shell


新增一个任务管理,运行模式选shell,如图

【奇技淫巧】XXL-JOB后台反弹shell


然后回到主页面,选择GLUE进行编辑

【奇技淫巧】XXL-JOB后台反弹shell


这里跟普通的bash反弹没啥区别,然后在自己的公网VPS设置nc监听

【奇技淫巧】XXL-JOB后台反弹shell


最后返回任务界面,这里一定要先刷新,然后再点执行

【奇技淫巧】XXL-JOB后台反弹shell


反弹成功


【奇技淫巧】XXL-JOB后台反弹shell

本文始发于微信公众号(T00ls):【奇技淫巧】XXL-JOB后台反弹shell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: