XXL-job漏洞综合利用工具

pureqh 夜组科技圈 2025-01-21 00:01

公众号现在只对常读和星标的才展示大图推送，

建议大家把
夜组科技圈
设为
星标
，接收一手资讯！

工具介绍

xxl-job-attack，xxl-job漏洞综合利用工具

检测漏洞

1、默认口令

2、api接口未授权Hessian反序列化

3、Executor未授权命令执行

4、默认accessToken身份绕过

关于内存马

1、内存马使用了xslt，由于测试直接打入内存马有时会失败，所以选择直接打入agent内存马

2、如需自定义可替换resources下的ser文件，其中agent.ser为agent内存马、xslt.ser会落地为/tmp/2.xslt

3、内容为使用exec执行/tmp/agent.jar、exp.ser则是加载/tmp/2.xslt

4、默认注入vagent内存马，连接信息冰蝎:http://ip:port/xxl-job-admin/api/luckydayb,其他类型内存马类似， 将favicon改为luckyday即可

5、由于agent发送文件较大，所以可能导致包发不过去，建议多试几次或者将超时时间延长

6、由于Hessian反序列化基本上都是直接发二进制包，所以理论上讲其他的Hessian反序列化漏洞也可以打

工具下载

https://github.com/pureqh/xxl-job-attack/tree/main

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里