XXL-Job分布式任务调度特征及漏洞复现

XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。

Web特征

XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。

管理端-Web 可视化控制台

常用路径 http://target:8080/xxl-job-admin/toLogin,用于任务配置、调度管理、执行器注册的可视化 Web 平台,且存在默认账户(admin/123456):

image-20251126203618989

相关特征:

  • title=任务调度中心
  • web默认icon(icon_hash="1691956220"):image-20251126203838119image-20251126203855816

404页面:

image-20251126204748597

fofa语法:path="/xxl-job-admin" && title="任务调度中心" || app="xxl-job-admin"icon_hash="1691956220" && port="8080,80,443"

客户端-任务执行节点

部署在业务服务器上的任务执行组件,无可视化 Web 界面,仅提供 HTTP API 接口供管理端调用(如注册、心跳、执行任务),特征以“接口 + 端口 + 响应格式”为主。

默认路径 http://target:9999/xxl-job-executor/jobhandler/(此接口名称不可修改),/beat(心跳接口)、/run(任务执行接口)

image-20251126204557722

其他相关特征:

  1. 所有接口返回 JSON,包含关键字 XxlJobcode:200(成功响应)、msg:"success"
  2. 常见端口:9999、8081、8082、8888(执行器默认端口,不同于管理端的 8080)

fofa语法:path="/xxl-job-executor/jobhandler/" && body="XxlJob"port="9999,8081,8082" && (path="/beat" || path="/run") && body="code"

漏洞复现

此漏洞可以使用工具进行自动化探测、利用。

工具:天狐渗透工具箱-社区版V2.0纪念版/XXL-JOB漏洞利用工具

image-20251126204919102
posted @ 2025-12-02 12:50  shinianyunyan  阅读(16)  评论(0)    收藏  举报