2分钟
Metasploit
Metasploit周报——2024年6月9日
亲爱的,我缩减了PHP的有效负载
这个版本包含了Julien Voisin对PHP有效负载的更多改进. 最后的
上周,我们从Julien获得了一个PR,为php/base64添加了一个数据存储选项
编码器,当启用时,将使用zlib压缩负载
极大地减小了大小,将4040字节的有效负载降低到仅为
1617个字节. 本周发布的版本包括一个php/minify编码器,它删除了所有
负载中不需要的字符,包括注释、空行、引子
2分钟
Metasploit
Metasploit周报06/28/2024
nettis路由器的未经认证命令注入
本周发布的Metasploit包含一个针对未经身份验证的漏洞利用模块
命令注入漏洞存在于Netis MW5360路由器中
被追踪为CVE-2024-22729. 的不当处理导致该漏洞
允许命令的路由器web界面中的密码参数
注射. 幸运的是,对于攻击者来说,路由器的登录页面授权可以
只需删除授权头即可绕过,
2分钟
Metasploit
Metasploit周报04/19/24
欢迎Ryan和新的CrushFTP模块
并不是每周我们都会在框架中添加一个很棒的新漏洞利用模块
将漏洞的原始发现者也添加到Rapid7团队中.
我们非常高兴地欢迎Ryan Emmons加入紧急威胁响应小组,
在Rapid7与Metasploit合作. 瑞安发现了一个不合适的
动态确定对象属性的受控修改
10之前版本中的CrushFTP漏洞(CVE-2023-43177).5.1制作
2分钟
Metasploit
Metasploit每周总结,2024年2月9日
Go Go gadget Fortra GoAnywhere MFT模块
这个Metasploit版本包含了2024年最热门的一个模块
迄今为止的漏洞:CVE-2024-0204. 中的路径遍历漏洞
Fortra GoAnywhere MFT允许未经身份验证的攻击者访问
InitialAccountSetup.在产品初始化期间使用的XHTML端点
设置以创建第一个管理员用户. 安装完成后
端点应该不再可用. 攻击者可以利用这个
脆弱性
2分钟
Metasploit
Metasploit每周总结:2023年7月21日
本周的每周总结包括两个新的Metasploit模块——Piwigo通过SQL注入收集凭证(CVE-2023-26876)和Openfire认证绕过RCE插件(CVE-2023-32315)
3分钟
Metasploit
Metasploit每周总结:3/24/23
Zxyel路由器要小心
本周我们发布了一个由首次社区贡献者编写的模块
shr70 [http://github.可以利用大约45种不同的Zyxel
路由器和VPN型号. 该模块利用了一个缓冲区溢出漏洞
导致在受影响设备上执行未经身份验证的远程代码. 这是罕见的
我们看到一个模块一次影响这么多设备,很高兴看到这艘船
在框架中. 我们希望渗透测试者和红队都能好好利用
这
4分钟
Metasploit
Metasploit每周总结:3月. 10, 2023
Wowza,一个新的凭证收集和登录扫描器!
本周Metasploit Framework为Wowza Streaming获得了一个证书收集器
引擎管理器. 此应用程序的凭据存储在名为
管理.密码在已知位置,默认情况下文件是可读的
Windows上的BUILTIN\Users,在Linux上是世界可读的.. 模块是这样写的
社区贡献者bcoles [http://github].他也写了一篇
Wowza的登录扫描器. 登录扫描器可以b