文章总结： xxl-job-attackisacomprehensiveexploitationtooltargetingxxl-jobvulnerabilitiesincludingdefaultcredentialsunauthorizedHessiandeserializationunauthorizedcommandexecutionandaccessTokenbypasses.ItfeaturesmemoryshellinjectioncapabilitiesutilizingXSLTsupportingBehinderFilterandVagenttypeswithoptionsforcustomizationviareplacingserfiles.Thetooldetailsspecificconnectionconfigurationsforpayloadsandadvisesonhandlinglargeagentfiletransmissionswhichmayrequireretriesortimeoutsadjustments.Userscanobtainthetoolbyreplyingaspecificcodetotheofficialaccount. 综合评分： 82 文章分类： 安全工具,漏洞POC,渗透测试

xxl-job漏洞综合利用工具

W小哥

2025年12月31日 18:08 浙江

xxl-job-attack

xxl-job漏洞综合利用工具

该工具可检测以下漏洞：

1、默认口令 2、api接口未授权Hessian反序列化（只检测是否存在接口，是否存在漏洞需要打内存马验证） 3、Executor未授权命令执行 4、默认accessToken身份绕过

关于内存马

1、内存马使用了xslt，为了提高可用性提供了冰蝎Filter和Vagent两种内存马 2、如需自定义可替换resources下的ser文件，其中filter.ser为冰蝎filter内存马、agent.ser为冰蝎agent内存马、xslt.ser会落地为/tmp/2.xslt, 3、内容为使用exec执行/tmp/agent.jar、exp.ser则是加载/tmp/2.xslt 4、vagent内存马连接配置:冰蝎:http://ip:port/xxl-job-admin/api, 其他类型内存马类似， 将api改为luckydayc、luckydayjs等即可 5、Behinder内存马连接配置: 密码: Sgjmccrzo 请求路径: /api 请求头: Referer: Lepxcnzd 脚本类型: JSP

6、由于agent发送文件较大，所以可能导致包发不过去，建议多试几次或者将超时时间延长 7、由于Hessian反序列化基本上都是直接发二进制包，所以理论上讲其他的Hessian反序列化漏洞也可以打

关注公众号回复“20251231”获取工具地址。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：W小哥 《xxl-job漏洞综合利用工具》