XXL-JOB任务调度中心后台命令执行漏洞
·
1.漏洞描述
XXL-JOB任务调度中心后台存在命令执行漏洞,攻击者可在后台通过写入shell命令任务调度获取服务器控制权限。
2.资产查找
FOFA:app="XXL-JOB" || title="任务调度中心"
3.漏洞复现
1)以默认弱口令admin/123456进入后台
http://ip/toLogin
2)选择任务管理模块,新增任务
(PS:运行模式选择GLUE(Shell))
3)点击 GLUE IDE编辑脚本,输入命令
4)操作选择执行一次
5)查看网站有回显,命令被成功执行
新一代开源开发者平台 GitCode,通过集成代码托管服务、代码仓库以及可信赖的开源组件库,让开发者可以在云端进行代码托管和开发。旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。
更多推荐
0
0- 0
已为社区贡献4条内容
所有评论(0)