xxl-job - 第 2 | CN-SEC 中文网

安全博客

XXL-JOB远程命令执行

XXL-JOB是一个轻量级分布式任务调度平台，用于实现大规模任务的调度和执行。先前版本的XXL-JOB默认情况下API接口没有配置认证措施，现已加入accessToken，但公网仍然有大量使用默认t...

03月27日30 views评论

阅读全文

安全文章

XXL-JOB在真实攻防下的总结

扫码领资料获网安教程最近在HW中经常会遇到XXL-JOB这个组件，也通过这个组件进入了不少目标单位，那就对该组件的利用进行一次总结。一、最基本的操作-计划任务命令执行这个操作我相信大家已经熟的不能再熟...

03月01日45 views评论

阅读全文

代码审计

再怎么鸡肋也比吃瓜混日子强的 xxl-job 代码审计

发现安全隐患及利用方式:介绍了XXL-JOB分布式任务调度平台的核心设计目标和调度流程，并列举了主要使用的API接口。同时，还提到了Token配置的详细说明。接下来，文章对XXL-JOB的代码进行了审...

02月21日143 views评论

阅读全文

安全漏洞

漏洞复现 XXL-JOB默认accessToken身份绕过RCE漏洞

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...

02月15日831 views评论

阅读全文

代码审计

JAVA代码审计之XXL-Job默认token（XVE-2023-21328）分析

前言划，狠狠划。免责声明:本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关。注意：本免责声明旨在明确指出，本文仅为技术交流、学习和...

02月15日34 views评论

阅读全文

安全漏洞

xxl-job 默认accessToken远程代码执行漏洞复现

一、漏洞描述XXL-JOB是一个分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。默认配置下，调度通讯accessToken不是...

02月15日82 views评论

阅读全文

安全文章

SRC实战 | 从弱口令到getshell的一例（不过实话实说一般系统的弱口令基本是shell不了的）

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。前言某次信息收集，发现了目标网站有xxl...

02月07日39 views评论

阅读全文

安全文章

漏洞分析 | xxl-job的命令执行详解

0x01 Executor命令执行0x01.1 漏洞复现Shell脚本数据包如下：POST /run HTTP/1.1Host: 127.0.0.1:9999Content-Length: 365Ac...

02月01日65 views评论

阅读全文

安全工具

xxl-jobExploitGUI

微信公众号：[小白安全工具] 分享安全工具与安全漏洞。问题或建议，请公众号留言。xxl-jobExploitGUI 简介工具实现了XXL-JOB默认accessToken权限绕过漏洞的单个检测、批量检...

12月21日67 views评论

阅读全文

安全漏洞

漏洞预警 | XXL-JOB身份绕过漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述xxl-job是一个分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。0x03 漏洞详情漏洞类型：代码注入影响：远程...

11月06日69 views评论

阅读全文

安全文章

xxl-job漏洞分析

前段时间微步爆出来，我感觉和2.2.0漏洞的差不多，基本上poc算一模一样。。。漏洞算xxl-job executor相关（xxl-job的执行器），如果没有开启执行器，可能就不存在下面的漏洞了。2....

11月05日191 views评论

阅读全文

安全漏洞

漏洞复现｜XXL-JOB任务调度系统 ACCESS-TOKEN权限绕过漏洞

1、前言今天看到网上爆出xxl-job新漏洞，说是存在默认accesstoken由于好奇去官网查看存在硬编码问题https://gitee.com/xuxueli0323/xxl-job/blob/m...

11月02日409 views评论

阅读全文

在线咨询

微信