如何进行XXL-JOB API接口未授权访问RCE漏洞复现

XXL-JOB描述

XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

一、 漏洞详情

此次漏洞核心问题是 GLUE 模式。XXL-JOB 通过“GLUE模式”支持多语言以及脚本任务,该模式任务特点如下:

● 多语言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。

● Web IDE:任务以源码方式维护在调度中心,支持通过 Web IDE 在线开发、维护。

● 动态生效:用户在线通过 Web IDE 开发的任务代码,远程推送至执行器,实时加载执行。

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。

【漏洞描述】

XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令

【漏洞评级】

高危

【受影响版本】

XXL-JOB <= 2.2.0

二、 环境搭建

整体思路:源代码下载->Maven安装依赖->配置部署“调度中心”->配置部署“执行器项目”->完成部署

本地开发环境:Java8+Maven3.6

1. Github下载源代码

地址:https://github.com/xuxueli/xxl-job/releases/tag/v2.2.0

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

2. Maven下载所需要的依赖

Idea打开解压后的源代码,自动会进行pom中的相关依赖安装,也可以在终端使用maven命令下载所需要的依赖

3. 数据库配置

调度数据库初始化SQL脚本位置为:

/xxl-job/doc/db/tables_xxl_job.sql

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

因为本地未安装mysql,故使用docker安装。

a) docker pull mysql:5.7

b) sudo docker run -p 3306:3306 –name mysql -e MYSQL_ROOT_PASSWORD=123456 -d mysql:5.7

这样我们就启动了mysql容器,账号为root,密码为123456

使用navicat接连数据库

如何进行XXL-JOB API接口未授权访问RCE漏洞复现可以点击左下角,完成测试连接。在导入的数据库右键,选择运行SQL文件,点击开始即可完成数据库的导入。

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

4. 配置部署“调度中心”

调度中心项目:xxl-job-admin

作用:统一管理任务调度平台上调度任务,负责触发调度执行,并且提供任务管理平台。可根据实际情况自行修改application.properties中的数据库配置

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

执行XxlJobAdminApplication启动调度中心

如何进行XXL-JOB API接口未授权访问RCE漏洞复现我们使用推荐的Springboot来管理执行器

如何进行XXL-JOB API接口未授权访问RCE漏洞复现查看配置文件,发现xxl.job.executor.logpath参数,我们可以新建或修改该路径,以防止程序执行出现问题。Mac新系统不存在data路径,发现使用mkdir创建路径发现失败,这是因为mac系统中关闭了Sip,使用sudo mount -uw /来解除Sip的限制。运行XxlJobExecutorApplication来启动执行器。浏览器打开//localhost:8080/,看到登入界面,确保启动成功,默认登录账号“admin/123456”

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

注意点:

建议先创建/data/applogs/xxl-job,程序中多处配置文件使用该路径

修改调度中心数据库配置

Linux/Unix可使用lsof来查看端口占用情况,防止启动失败

调度中心和执行器可以根据实际情况分开部署

三、漏洞复现

查看官方文档可以看到执行器RESTful API中触发任务接口说明

如何进行XXL-JOB API接口未授权访问RCE漏洞复现其中的任务运行模式有以下几种

如何进行XXL-JOB API接口未授权访问RCE漏洞复现查看GulueTypeEnum源代码

如何进行XXL-JOB API接口未授权访问RCE漏洞复现所以我们利用Burpsuite构造我们的POC

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

Tips:

修改glueSource时,如果执行未生效,请修改jobId

当重启项目时,发现端口启动异常,请关闭BurpSuite

由于 XXL-JOB 官方版本原生自带鉴权组件,开启后可保障系统底层通讯安全。XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。

四、修复建议

1. 开启 XXL-JOB 自带的鉴权组件:官方文档中搜索 “xxl.job.accessToken”,按照文档说明启用即可。

2. 端口访问限制:通过配置安全组限制只允许指定IP才能访问端口

感谢你的阅读,相信你对“如何进行XXL-JOB API接口未授权访问RCE漏洞复现”这一问题有一定的了解,快去动手实践吧,如果想了解更多相关知识点,可以关注亿速云网站!小编会继续为大家带来更好的文章!

文章标题:如何进行XXL-JOB API接口未授权访问RCE漏洞复现,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/23990

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月8日 下午10:50
下一篇 2022年9月8日 下午10:52

相关推荐

  • windows驱动精灵runtime error如何解决

    解决方法: 1、按下“win+r”打开运行,输入 regedit。 2、依次打开 HKEY_LOCAL_MACHINE/SOFTWARE/microsoft/Windows。 3、在CurrentVersion文件夹下找到Run文件夹。 4、将右侧任务栏中的“runtime”错误信息删除即可。 以上…

    2022年9月13日
    72400
  • APT框架TajMahal怎么用

    概述 ‘TajMahal’是卡巴斯基实验室在2018年秋季发现的一个以前未知且技术复杂的APT框架。这个完整的间谍框架由两个名为“东京”和“横滨”的包组成。它包括后门,加载器,协调器,C2通信器,录音机,键盘记录器,屏幕和网络摄像头抓取器,文档和加密密钥窃取程序,甚至是受害者…

    2022年9月21日
    33200
  • IDEA类存在但找不到如何解决

    1.刷新maven项目 2.清理idea缓存 3.maven clean install 4.重新bulid 5.如果使用了lombok插件开启之后重新build 6.maven依赖冲突导致 1.打开当前maven模块或者,父类模块对应的pom,哪个模块有冲突进入那个模块!2.ctlr+alt+sh…

    2022年9月21日
    1.4K00
  • windows edge浏览器高级设置位置在哪

    edge浏览器高级设置找不到: 注:由于edge浏览器更新了新版本,所以高级设置也相应的改变了位置。 1、打开浏览器点击右上角三个点。 2、在下拉任务栏中点击“设置”。 3、在新窗口的左侧点击“高级”即可进入高级设置。 4、在右侧“高级”中进行高级设置。 到此,相信大家对“windows edge浏…

    2022年9月8日
    1.5K00
  • LDAP NULL bind导致登录绕过漏洞分析和修复方案是什么

    LDAP NULL bind匿名绑定导致登录绕过漏洞分析和修复方案 一、背景 1.1LDAP和认证过程 LDAP轻型目录访问协议是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。有优异的读性能,但写性能差。 LDAP作为开放的Internet标准,支持跨平…

    2022年9月13日
    79900
  • XML外部实体注入漏洞的示例分析

    一、XML外部实体注入 XML 外部实体注入漏洞也就是我们常说的 XXE 漏洞。XML 作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理 xml 数据的代码,默认情况下,许多过时的或配置不当的 XML 处理器都会对外部实体进行引用。 如果攻击者可以上传 XML 文档或者在 XML 文档中…

    2022年9月20日
    97200
  • java BigDecimal类应用实例代码分析

    一.介绍 float和double类型的主要设计目标是为了科学计算和工程计算。他们执行二进制浮点运算,这是为了在广域数值范围上提供较为精确的快速近似计算而精心设计的。然而,它们没有提供完全精确的结果,所以不应该被用于要求精确结果的场合。但是,商业计算往往要求结果精确,这时候BigDecimal就派上…

    2022年8月31日
    50500
  • HTML可不可以美化网页

    HTML不可以美化网页。HTML是用来定义网页内容的,例如标题、正文、图像等,它是无法美化网页的;美化网页需要使用CSS,CSS是样式语言,主要用来控制网页的外观,例如颜色、字体、背景等。CSS能够对网页中的对象的位置排版进行像素级的精确控制,支持几乎所有的字体字号样式,拥有对网页对象和模型样式编辑…

    2022年9月24日
    58100
  • React调度的原理是什么

    异步调度 问题:由于对于大型的 React 应用,会存在一次更新,递归遍历大量的虚拟 DOM ,造成占用 js 线程,使得浏览器没有时间去做一些动画效果,伴随项目越来越大,项目会越来越卡。 对比Vue: Vue 有这 template 模版收集依赖的过程,轻松构建响应式,使得在一次更新中,Vue 能…

    2022年9月21日
    51400
  • windows bios设置u盘启动没有u盘选项如何解决

    解决方法: 1、启动盘制作完成之后,可以在开机的页面中按启动热键F8进入“bios”。 2、在这里可以找到usb高级设置的选项,将其状态改为启动,右侧类型改为“enabled”。 3、设置完成没有找到usb选项的话可以切换至boot,点击图中所指进入设置。 4、在这里你可以看到光标的位置,启动优选的…

    2022年9月22日
    65700
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部