0x01 工具介绍

xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马（如冰蝎Filter和Vagent）执行漏洞攻击，提供灵活的配置方式！

0x02 功能简介

该工具可检测以下漏洞：

1、默认口令2、api接口未授权Hessian反序列化（只检测是否存在接口，是否存在漏洞需要打内存马验证）3、Executor未授权命令执行4、默认accessToken身份绕过

关于内存马

1、内存马使用了xslt，为了提高可用性提供了冰蝎Filter和Vagent两种内存马2、如需自定义可替换resources下的ser文件，其中filter.ser为冰蝎filter内存马、agent.ser为冰蝎agent内存马、xslt.ser会落地为/tmp/2.xslt,3、内容为使用exec执行/tmp/agent.jar、exp.ser则是加载/tmp/2.xslt4、vagent内存马连接配置:冰蝎:http://ip:port/xxl-job-admin/api, 其他类型内存马类似， 将api改为luckydayc、luckydayjs等即可5、Behinder内存马连接配置:密码: Sgjmccrzo请求路径: /api请求头: Referer: Lepxcnzd脚本类型: JSP

6、由于agent发送文件较大，所以可能导致包发不过去，建议多试几次或者将超时时间延长7、由于Hessian反序列化基本上都是直接发二进制包，所以理论上讲其他的Hessian反序列化漏洞也可以打