5 min
Metasploit
Metasploit每周总结
Metasploit t恤设计大赛
为了纪念Metasploit成立20周年,Rapid7推出了特别版
t恤——我们正在邀请我们社区的成员参与进来
creation. 比赛获胜者的设计将出现在t恤上,
然后在2023年黑帽大会上拿起.
我们将从现在起至6月30日接受提交! 比赛的细节,
设计指南和提交说明在这里
[http://docs.google.com/forms/d/e/1FAIpQLSeWU
3 min
Metasploit
Metasploit每周总结
MOVEit
It has been a busy few weeks in the security space; the MOVEit
[http://5do.domestictunerz.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/?utm_campaign = sm-blog&twitter utm_source =&utm_medium =有机社交]
用跳舞的狐猴和梭鱼填充我们的新闻推送
[http://5do.domestictunerz.com/blog/post/2023/06/08/etr - cve - 2023 - 2868 -总-妥协-物理-梭鱼appliances/——环境、社会和治理?utm_campaign = sm-ETR&utm_source = twitter、linkedin&utm_me
4 min
Metasploit
Metasploit每周总结:6月. 7, 2023
Metasploit增加了对Amazon Web Services EC2实例枚举的新支持,并集成了会话支持, Apache NiFi扫描器, and more
2 min
Metasploit
Metasploit每周总结
增加了对活动目录证书服务ESC4利用的支持, 以及一个新的sudoedit额外参数权限升级模块
2 min
Metasploit
Metasploit每周总结
基于有效负载的获取:从命令注入到Metasploit的路径
会话短
本周我们发布了Metasploit fetch payload. 获取有效载荷是
基于命令的有效负载,利用远程上支持网络的应用程序
主机和不同的协议服务器提供、下载和执行二进制文件
payloads. 去年,三分之二的漏洞模块降落到
Metasploit框架是命令注入漏洞. 这些漏洞将被
用我们的新
4 min
Metasploit
Metasploit简讯
Zyxel路由器RCE的新模块, Pentaho业务服务器认证旁路, ManageEngine ADAudit鉴权文件写RCE, 和HTTPTrace功能添加到扫描器模块
3 min
Metasploit
Metasploit每周总结
把另一根木头[文件]扔进火里
我们的Stephen less编写了一个针对CVE-2023-26360的模块
[http://attackerkb.com/topics/f36clhttiq/cve - 2023 - 26360?介绍人=博客]
影响ColdFusion 2021更新5及更早版本以及ColdFusion 2018更新
15岁及以下. 该漏洞允许多条路径执行代码,但是
我们的模块通过利用将导致服务器的请求来工作
在远程的任意文件上评估ColdFusion标记语言
system. This all
2 min
Metasploit
Metasploit每周总结
扫描器,从Joomla安装提取敏感信息
本周发布的Metasploit包含一个针对CVE-2023-23752的模块
[http://github.com/h00die]. 您是否知道不正确的API访问
Joomla安装中的漏洞,特别是Joomla版本之间
4.0.0 and 4.2.7、包容? 此漏洞允许未经身份验证的用户
访问包含敏感信息(如用户)的web服务端点
配置信息. 此模块可用于
3 min
Metasploit
Metasploit每周总结
VMware Workspace ONE Access漏洞利用链
jheysel-r7 [http://github]贡献的新模块.com/jheysel-r7]利用
VMware Workspace ONE Access中的两个漏洞,用于获取远程代码
作为地平线用户执行.
首先是CVE-2022-22956 [http://github].com/advisories/GHSA-54hw-pp59-j3rc),
这是一个身份验证绕过,第二个是JDBC注入
CVE-2022-22957的形式[http://github . net].com/advisories/GHSA-cqx6-4jgp-26m2]
最终授予我们RCE.
The module
4 min
Metasploit每周总结
Metasploit每周总结
火箭软件UniRPC漏洞
罗恩·鲍斯[http://github].com . rbowes-r7]提交了两个漏洞利用模块
[http://github.http://rapid7/metasplot-framework/pull/17832]漏洞
他发现
[http://5do.domestictunerz.com/blog/post/2023/03/29/multiple-vulnerabilities-in-rocket-software-unirpc-server-fixed/]
在火箭软件公司的UniData产品的UniRPC服务器中. 第一个漏洞
模块,利用/linux/misc/unidata_udadmin_auth_bypass漏洞
身份验证绕过,最终获得远程
2 min
Metasploit
Metasploit每周总结
潮水涨落.
上周新模块的洪流达到了顶峰,为文档编写留下了充足的时间
本周更新. 团队和社区似乎一直专注于获得
这些甜蜜的信息可以帮助每个人了解Metasploit
走向世界.
增强功能和特性(1)
* #17458 [http://github . cn.com/rapid7/metasploit-framework/pull/17458从
steve-embling [http://github./steve-embling] -更新
利用/多/ misc / weblogic_deserialize_ba
7 min
Metasploit
Metasploit每周总结:3月. 31, 2023
5个新模块,包括Windows 11 WinSock Priv Esc, SolarWinds信息服务(SWIS) RCE和AMQP支持
3 min
Metasploit
Metasploit每周总结
Zxyel路由器要小心
本周我们发布了一个由首次社区贡献者编写的模块
shr70 [http://github.可以利用大约45种不同的Zyxel
路由器和VPN型号. 该模块利用了一个缓冲区溢出漏洞
导致在受影响设备上执行未经身份验证的远程代码. It's rare
我们看到一个模块一次影响这么多设备,很高兴看到这艘船
在框架中. 我们希望渗透测试者和红队都能好好利用
this
3 min
Metasploit
Metasploit每周总结
增加了新的内容
虽然这周我们确实增加了一些很酷的新模块,尤其是一个
有趣的是Fortinet FortiNAC漏洞,CVE-2022-39952
[http://attackerkb.com/topics/9bvxyuihyj/cve - 2022 - 39952?referrer =博客]
是团队成员杰克·海塞尔加进去的. 这个模块利用了一个未经认证的
RCE在Fortinet FortiNAC版本9.4.0, 9.2.0 through 9.2.5, 9.1.0 through
9.1.7, 8.8.0 through 8.8.11, 8.7.0 through 8.7.6, 8.6.0 through 8.6.5, 8.5.0
through 8.5.4,
4 min
Metasploit
Metasploit每周总结
Wowza,一个新的凭证收集和登录扫描器!
本周Metasploit Framework为Wowza Streaming获得了一个证书收集器
引擎管理器. 此应用程序的凭据存储在名为
admin.密码在已知位置,默认情况下文件是可读的
Windows上的BUILTIN\Users,在Linux上是世界可读的.. 模块是这样写的
社区贡献者bcoles [http://github].他也写了一篇
Wowza的登录扫描器. 登录扫描器可以b