概括XXL-RPC是一个高性能、分布式RPC框架。有了它,就可以使用Netty框架和Hessian序列化机制来搭建TCP服务器了。使用此类配置时,攻击者可能能够连接到服务器并提供恶意序列化对象,这些对...
10月19日103 views评论rpc
反序列化
xxl-rpc - 分布式服务框架 反序列化 - CVE-2023-45146
10月19日103 views评论rpc
反序列化
10月19日103 views评论rpc
反序列化
XXL-JOB分布式任务调度平台RCE
写在前面 今天下午红队内网刚遇到的漏洞,xxl-job本身是由默认弱口令admin/123456,这个系统改过密码是其他途径拿到的通用口令。感觉漏洞性质跟zabbix登录后台...
07月05日122 views评论rce
弱口令
XXL-JOB任意命令执行
在我们这个星球上,每天都要发生许多变化,有人倒霉了;有人走运了;有人在创造历史,历史也在成全或抛弃某些人。每一分钟都有新的生命欣喜地降生到这个世界,同时也把另一些人送进坟墓。这边万里无云,阳光灿烂;那...
06月24日47 views评论csdn
job
获取XXL-JOB管理员权限
只有永不遏制的奋斗才能使青春之花,即便是凋谢也是壮丽地凋谢!漏洞复现访问漏洞url:输入默认账号密码:admin/123456成功获取XXL-JOB管理员权限文笔生疏,措辞浅薄,望各位大佬不吝赐教,万...
06月24日18 views评论csdn
job
XXL-JOB漏洞汇总
简介XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。后台弱口令路径http://127.0.0.1:808...
03月05日2,368 views评论http
shell
集成式漏洞验证工具 -- expStorm
===================================免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负...
01月21日62 views评论py
工具
漏洞复现 XXL-JOB 任务调度中心 后台任意命令执行漏洞
0x01 阅读须知融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统...
10月18日257 views评论漏洞复现
网络安全
技术干货 | 一次代码审计到RCE的实战渗透案例
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微...
03月31日61 views评论rce
反序列化
【奇技淫巧】XXL-JOB后台反弹shell
不知道论坛的表哥们有没有遇到过这样的任务调度系统,其实这个漏洞(不知道算不算漏洞)在去年就发现了,现在来分享下。关于xxl-job的描述,各位表哥可在这里查看https://github.com/xu...
08月06日320 views评论shell
后台
从官方文档到0day挖掘思路
0x01开篇废话我很喜欢ASRC某位大佬说过的一句话:挖洞的本质就是信息收集一些开源项目的官方文档我们可以挖掘到很多有用信息,比如API利用、默认口令、硬编码等。本文主要以提供思路为目的,现在网上已经...
02月07日144 views评论api
文档
XXL-job 执行器 RESTful API 未授权访问RCE
漏洞复现看到发漏洞公告是 RESTful API 未授权,去官网搜了一下使用手册,总共有两种 RESTful API,一个 调度中心 RESTful API,一个 执行器 RESTful API。测试...
01月28日698 views评论api
job
腾讯云防火墙捕获H2Miner挖矿木马利用XXL-JOB未授权命令执行漏洞攻击云主机
长按二维码关注腾讯安全威胁情报中心一、概述腾讯安全云防火墙检测到H2Miner挖矿木马使用XXL-JOB未授权命令执行漏洞对云主机发起攻击,攻击成功后执行恶意脚本进而植入门罗币挖矿后门模块进行挖矿操作...
12月28日49 views评论攻击
漏洞
5