最后更新于2024年2月5日星期一19:31:37 GMT

本周发布的Metasploit框架为我们带来了七个新模块.

网络摄像机开发

Rapid7’s Jacob Baines 这周忙着开发两个针对IP摄像头的漏洞利用模块. The first 模块利用安讯士IP摄像机上的认证文件上传. 由于缺乏适当的清理,攻击者可以上传并安装一个 eap 应用程序,该应用程序在执行时将授予攻击者 root 设备上的特权. 贝恩斯于2017年发现了这一漏洞,目前尚未修补.

The second 模块利用未经身份验证的命令注入 vulnerability 在许多海康威视IP摄像机中. A PUT request to the / SDK / webLanguage 端点传递其请求体的内容 tag to snprintf(),然后将其结果数据传递给对 system(),导致代码执行 root privileges. 此漏洞已被 reported 在野外被开发.

pkexec中的特权升级

社区贡献者 RootUp submitted a module 这利用了特权升级 vulnerability in Polkit’s pkexec 实用程序,一个SUID二进制文件,存在于大多数主要的Linux发行版中. 此外,此漏洞可能存在于 pkexec since 2009.

任何用户都可以将其权限升级为 root 中存在的越界读写 pkexec的可执行寻径逻辑. 逻辑总是假设一个参数被传递给 pkexec,导致读取内存中参数后面的数据. 环境变量跟在程序参数后面,所以 pkexec 读取第一个环境变量, 解析其完整路径, 并用完整路径替换环境变量. Leveraging the GCONV_PATH 环境变量强制 pkexec 加载任意库,导致特权升级.

新增模块内容(7)

  • WordPress现代事件日历SQLi扫描器 由Hacker5preme (Ron Jost), h00die和red0xff开发 CVE-2021-24946 -该漏洞利用了Wordpress Modern Events Calendar插件中未经身份验证的SQL注入漏洞.

  • Wordpress安全复制内容保护和内容锁定sccp_id未认证的SQLi 由Hacker5preme (Ron Jost), Krzysztof Zając (kazet)和h00die开发 CVE-2021-24931 -增加了一个新的模块来利用CVE-2021-24931, 中的未经身份验证的SQLi漏洞 sccp_id 的参数。 ays_sccp_results_export_file 2之前版本的WordPress插件安全复制内容保护和内容锁定中的AJAX动作.8.2. 成功利用攻击者可以将用户名和密码哈希值从 wp_users 表,然后可以离线破解,以获得受影响的WordPress安装的有效登录凭据.

  • Axis IP摄像机应用上传 Axis IP摄像机的“应用程序”功能允许第三方开发者在设备上上传和执行“eap”应用程序, 但是,不执行验证以确保应用程序来自可信源. 该模块利用此漏洞允许经过身份验证的攻击者上传和执行恶意应用程序并获得RCE. 一旦安装了应用程序并获得了shell, 然后该模块将自动删除恶意应用程序. 截至撰写本文时,由于未发布补丁,未分配CVE.

  • 海康威视IP摄像机未经认证的命令注入 由Watchful_IP、bashis和jbaines-r7开发 CVE-2021-36260 -该模块利用各种海康威视IP摄像机中的未经认证的命令注入(CVE-2021-36260). 该模块将命令插入到XML有效负载中,使用HTTP PUT请求发送到/ SDK / webLanguage端点, 导致以root用户执行命令.

  • polkits中的本地权限升级 由Andris Raugulis, Dhiraj Mishra, Qualys Security和bwatters-r7共同开发 CVE-2021-4034 -这增加了一个针对CVE-2021-4034的LPE漏洞,该漏洞利用polkit的pkexec实用程序中的越界读写. 它还增加了对Metasploit的支持,用于为AARCH64体系结构生成Linux SO库有效负载.

  • 火狐MCallGetProperty写副作用后使用免费利用 由360 ESG漏洞研究所、maxpl0it和timwr开发 cve - 2020 - 26950 增加了一个cve - 2020 - 26950模块, 一个针对火狐和雷鸟的免费浏览器漏洞.

  • #16202 from zeroSteiner 这增加了一个漏洞 CVE-2022-21882 补片旁路是用来做什么的 CVE-2021-1732. 它将这两种技术更新并组合到一个大型漏洞利用模块中,该模块将在必要时使用更新后的技术. 除了SESSION和有效负载数据存储选项之外,不需要任何配置.

Bugs fixed

  • #16228 from zeroSteiner -这修复了一个错误,即如果有效载荷未编码,框架无法检查有效载荷是否适合由漏洞定义的空间.
  • #16235 from bcoles -此更改修复了APK注入的问题,在某些配置中,无效的apktool版本字符串会导致注入失败.
  • #16251 from zeroSteiner -修复了使用Python Meterpreter执行命令时的错误,其中并非所有结果都返回到msfconsole.
  • #16254 from heyder 修复了Shodan搜索模块的一个问题,即最近对用户代理的随机化更改导致返回到模块的结果以意外的格式出现.
  • #16255 from zeroSteiner -这修复了kiwi_cmd参数包含空格的解析问题,例如 Kiwi_cmd 'base64 /in:off /out:off'.
  • #16257 from bcoles 当用户试图使用旧版本的apktool将Android有效载荷注入APK时,此更改增加了警告.
  • #16264 from bwatters-r7 -修复了当尝试使用。创建本地模块文档时的崩溃 info -d 命令,当提供的GitHub凭据无效时.
  • #16266 from smashery -这修复了如何 msfconsole tab完成目录路径.

Get it

与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:

If you are a git 用户,可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only 夜间的安装程序 or the
二进制安装程序 (也包括商业版).