最后更新于2024年6月11日星期二19:50:34 GMT
Quis dmd rumpet ipsos dīrumpēs
在这个版本中,我们采用了双重攻击:两个漏洞分别针对两个软件. 第一对来自 h00die 目标是茉莉花勒索软件网络服务器. 第一个使用cve - 2024 - 30851检索勒索软件服务器的登录名, 第二个是目录遍历漏洞,允许读取任意文件. 来自Rhino Security的Dave Yesl和针对Progress Flowmon的cve - 224 -2389漏洞,它与附加的特权升级模块像葡萄酒一样搭配得很好.
新增模块内容(4)
Jasmin勒索软件Web服务器未经身份验证的目录遍历
作者:chebuya和h00die
类型:辅助
拉的要求: #19103 提供的 h00die
路径: 收集/ jasmin_ransomware_dir_traversal
AttackerKB参考: cve - 2024 - 30851
描述:这增加了一个未经身份验证的目录遍历和一个针对Jasmin勒索软件web面板的SQLi漏洞.
Jasmin勒索软件Web服务器未经身份验证的SQL注入
作者:chebuya和h00die
类型:辅助
拉的要求: #19103 提供的 h00die
路径: 收集/ jasmin_ransomware_sqli
描述:这增加了一个未经身份验证的目录遍历和一个针对Jasmin勒索软件web面板的SQLi漏洞.
Flowmon未经认证的命令注入
作者:Rhino安全实验室的Dave Yesl和
类型:利用
拉的要求: #19150 提供的 DaveYesl和
路径: linux / http / progress_flowmon_unauth_cmd_injection
AttackerKB参考: cve - 2024 - 2389
描述:Progress Flowmon cve - 2024 - 2389的未认证命令注入模块.
Progress Flowmon本地sudo权限升级
作者:Rhino安全实验室的Dave Yesl和
类型:利用
拉的要求: #19151 提供的 DaveYesl和
路径: linux /地方/ progress_flowmon_sudo_privesc_2024
描述:Progress Flowmon未修补功能的特权升级模块.
增强功能和特性(3)
- #19195 从 adfoster-r7 更新msfconsole以支持risc-v平台.
- #19198 从 adfoster-r7 增加对Ruby 3的支持.3.x.
- #19200 从 adfoster-r7 -更新Metasploit的gemspec文件,以配合其他静态分析工具.
bug修复(0)
没有一个
文档
您可以在我们的网站上找到最新的Metasploit文档 文档.metasploit.com.
得到它
与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:
如果你是 git
用户,可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only 夜间的安装程序 或者是
商业版 Metasploit职业