原文链接: https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247521558&idx=1&sn=8ace6c1b9ba3c75bd1d77c68810fd128

护网 | xxl-job漏洞综合利用工具

原创 奋斗的小浪 船山信安 2025-07-05 17:09

这次团队在某市州护网，分享一点实战心得，这个工具值得大家收藏，相信浪师父。

声明：仅用于授权测试，用户滥用造成的一切后果和作者无关 请遵守法律法规！

0x01 工具介绍

xxl-job-attack一款针对xxl-job的综合利用工具，该工具可检测以下漏洞：默认口令、api接口未授权Hessian反序列化（只检测是否存在接口，是否存在漏洞需要打内存马验证）、Executor未授权命令执行和默认accessToken身份绕过。内存马使用了xslt，为了提高可用性提供了冰蝎Filter和Vagent两种内存马。

Behinder内存马连接配置:

密码: Sgjmccrzo

请求路径: /api

请求头: Referer: Lepxcnzd

脚本类型: JSP

0x02 工具使用

0x03 工具下载

夸克网盘「xxl-job-attack」

链接：https://pan.quark.cn/s/7c634c257155?pwd=pceM             提取码：pceM

通过网盘分享的文件：xxl-job-attack链接: https://pan.baidu.com/s/1qXcbPeQimESIcjGivqbCfA?pwd=1234 提取码: 1234 

0x04 每日资源分享【综合漏洞自检工具-持续更新
】

链接：https://pan.quark.cn/s/711513a01f16?pwd=zrdC   提取码：zrdC

诚招志同道合的徒弟，还一片教育的净土。

打败你的不是学费，而是“回去再考虑考虑”。如果时光倒退10年，你最想做的事是什么？毫无疑问，那是你错过了选择，选择比努力更重要！

保证：优质的价格、增值的服务，秒杀市面上99%的（在线培训机构）

学习内容：Web漏洞挖掘、代码审计、免杀等。深耕红蓝对抗、渗透攻击链、通过漏洞分析与挖掘、网络武器开发、二进制安全等。

福利：内推、护网、工作（100%）。

方式：手把手教会，一对一答疑。

如果您想学带诚意加微信，了解学习大纲，非诚勿扰，请扫描下方二维码或添加微信：yuanchao2015