最后更新于2024年5月28日星期二21:21:34 GMT
Infiltrate the Broadcast!
A new module from Chocapikk 允许用户在易受攻击的流媒体平台AVideo(12)上执行远程代码执行.4 - 14.2). The 多/ http / avideo_wwbnindex_unauth_rce
module leverages CVE-2024-31819, PHP过滤器链接漏洞, 获得未经身份验证和无特权的访问, 使其攻击值为高 AttackerKB.
New module content (8)
Chaos RAT XSS to RCE
作者:chebuya和h00die
Type: Exploit
Pull request: #19104 contributed by h00die
Path: linux / http / chaos_rat_xss_to_rce
AttackerKB reference: CVE-2024-30850
描述:为HAOS v5添加了一个漏洞.0.8,其中包含一个远程命令执行漏洞
可以通过以下三种途径之一触发:凭据, JWT token from an agent, 可以提供代理可执行文件, 或者可以提取JWT令牌.
AVideo WWBNIndex插件未经身份验证的RCE
Author: Valentin Lobstein
Type: Exploit
Pull request: #19071 contributed by Chocapikk
Path: 多/ http / avideo_wwbnindex_unauth_rce
AttackerKB reference: CVE-2024-31819
描述:为CVE-2024-31819添加了一个模块,该模块利用AVideo中的LFI,使用PHP过滤器链接将LFI转换为未经认证的RCE.
北极星C2呼叫探员RCE
作者:chebuya和h00die
Type: Exploit
Pull request: #19102 contributed by h00die
Path: windows / http / northstar_c2_xss_to_agent_rce
AttackerKB reference: CVE-2024-28741
描述:增加了一个针对CVE-2024-28741的漏洞,该漏洞利用了北极星C2的XSS漏洞.
一个IRC凭证收集器
作者:Barwar Salim M, Daniel Hallsworth, Jacob Tierney, Kazuyoshi Maruta, Z. Cliffe Schreuders
Type: Post
Pull request: #19169 contributed by The-Pink-Panther
Path: windows /收集/凭证/ adi_irc
描述:这增加了一个收集模块,利用Packrat瞄准Adi IRC客户端.
CarotDAV凭证收集器
作者:Barwar Salim M, Daniel Hallsworth, Jacob Tierney, Kazuyoshi Maruta, Z. Cliffe Schreuders
Type: Post
Pull request: #19173 contributed by The-Pink-Panther
Path: windows /收集/凭证/ carotdav_ftp
描述:这增加了一个利用Packrat针对CarotDAV FTP客户端的收集模块.
你好IRC凭据收集者
作者:Barwar Salim M, Daniel Hallsworth, Jacob Tierney, Kazuyoshi Maruta, Z. Cliffe Schreuders
Type: Post
Pull request: #19165 contributed by The-Pink-Panther
Path: windows /收集/凭证/ halloy_irc
描述:这添加了一个利用Packrat收集针对Halloy IRC客户机的凭据的模块.
Quassel IRC凭证收集器
作者:Barwar Salim M, Daniel Hallsworth, Jacob Tierney, Kazuyoshi Maruta, Z. Cliffe Schreuders
Type: Post
Pull request: #19166 contributed by The-Pink-Panther
Path: windows /收集/凭证/ quassel_irc
描述:这增加了一个收集模块,利用Packrat瞄准Quassel IRC客户端.
Sylpheed电子邮件凭证收集者
作者:Barwar Salim M, Daniel Hallsworth, Jacob Tierney, Kazuyoshi Maruta, Z. Cliffe Schreuders
Type: Post
Pull request: #19171 contributed by The-Pink-Panther
Path: windows /收集/凭证/ sylpheed
描述:这增加了一个收集模块,利用Packrat瞄准Sylpheed电子邮件客户端.
增强功能和特性(1)
- #19189 from adfoster-r7 更新Metasploit框架的默认Ruby版本为
3.1.5
; newer Ruby versions are also supported.
Bugs fixed (4)
- #19002 from adfoster-r7 修复重新启动MSF控制台时持久工作不工作的问题.
- #19170 from sjanusz-r7 - Fixes the
smb_lookupsid
module hanging withSTATUS_PENDING
在针对Samba目标运行时. - #19186 from dwelch-r7 - Fixes a bug were the
show advanced
命令可以显示正常选项. - #19192 from adfoster-r7 修复了运行Ruby 3时自身模块崩溃的问题.3.0.
Documentation
您可以在我们的网站上找到最新的Metasploit文档 docs.metasploit.com.
Get it
与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:
If you are a git
user, you can clone the Metasploit Framework repo (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only Nightly Installers or the
commercial edition Metasploit Pro