文章预览
关注我们❤️,添加星标🌟,一起学安全! 作者:Arvin@Timeline Sec 本文字数:2867 阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。 0x02 漏洞概述 XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 executor,执行任意代码,从而获取服务器权限。 0x03 影响版本 XXL-JOB < = 2.4.0 0x04 环境搭建 Docker方式构建 1.拉取镜像 docker pull xuxueli/xxl-job-admin:2.4.0 2.创建数据库 docker pull mysql docker run -d --name mysql -e MYSQL_ROOT_PASSWORD=root -p 13306:13306 mysql 3.用navicat连接数据库并运行xxl-job.sql文件 xxl-job.sql下载地址:https://github.com/xuxueli/
………………………………
