最后更新于2024年6月11日星期二19:50:34 GMT
Quis dmd rumpet ipsos dīrumpēs
在这个版本中,我们采用了双重攻击:两个漏洞分别针对两个软件. 第一对来自 h00die 目标是茉莉花勒索软件网络服务器. 第一个使用CVE-2024-30851检索勒索软件服务器的登录名, 第二个是目录遍历漏洞,允许读取任意文件. 来自Rhino Security的Dave Yesland针对Progress Flowmon的cve - 224 -2389漏洞,它与附加的特权升级模块像葡萄酒一样搭配得很好.
New module content (4)
Jasmin勒索软件Web服务器未经身份验证的目录遍历
作者:chebuya和h00die
Type: Auxiliary
Pull request: #19103 contributed by h00die
Path: 收集/ jasmin_ransomware_dir_traversal
AttackerKB reference: CVE-2024-30851
描述:这增加了一个未经身份验证的目录遍历和一个针对Jasmin勒索软件web面板的SQLi漏洞.
Jasmin勒索软件Web服务器未经身份验证的SQL注入
作者:chebuya和h00die
Type: Auxiliary
Pull request: #19103 contributed by h00die
Path: 收集/ jasmin_ransomware_sqli
描述:这增加了一个未经身份验证的目录遍历和一个针对Jasmin勒索软件web面板的SQLi漏洞.
Flowmon未经认证的命令注入
作者:Rhino安全实验室的Dave Yesland
Type: Exploit
Pull request: #19150 contributed by DaveYesland
Path: linux / http / progress_flowmon_unauth_cmd_injection
AttackerKB reference: CVE-2024-2389
描述:Progress Flowmon CVE-2024-2389的未认证命令注入模块.
Progress Flowmon本地sudo权限升级
作者:Rhino安全实验室的Dave Yesland
Type: Exploit
Pull request: #19151 contributed by DaveYesland
Path: linux /地方/ progress_flowmon_sudo_privesc_2024
描述:Progress Flowmon未修补功能的特权升级模块.
增强功能和特性(3)
- #19195 from adfoster-r7 更新msfconsole以支持risc-v平台.
- #19198 from adfoster-r7 增加对Ruby 3的支持.3.x.
- #19200 from adfoster-r7 -更新Metasploit的gemspec文件,以配合其他静态分析工具.
Bugs fixed (0)
None
Documentation
您可以在我们的网站上找到最新的Metasploit文档 docs.metasploit.com.
Get it
与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:
If you are a git
用户,可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only Nightly Installers or the
commercial edition Metasploit Pro