记一次xxl job拿服务器权限(有手就行序列)2023年7月17日#渗透测试383AI 生成的摘要该漏洞利用流程简单明了,通过使用弱口令来执行命令,属于一种简单的攻击序列。具体步骤包括:使用xxl-jog弱口令登录后台,找到任务管理并选择外部接口执行器以反弹shell,选择创建的任务并选择操作-GLUE IDE,打开编辑器窗口并写入命令后保存,回到任务窗口选择执行一次,成功获取服务器权限。漏洞利用流程简单明了,弱口令 - 后台执行命令,属于有手就行序列。 xxl-jog 弱口令:admin/123456 登录后界面如下 找到任务管理,执行器选择外部接口执行器才能反弹 shell 选中创建的任务,选择操作 - GLUE IDE 打开编辑器窗口,写入命令,保存 回到任务窗口,选择执行一次 服务器 nc 监听,成功获取服务器权限。 ---
