Metasploit Weekly Wrap-Up

最后更新于2023年10月13日星期五19:50:49 GMT

Pollution in Kibana

This week, contributor h00die 增加了一个模块，可以利用Kibana在7版之前的原型污染bug.6.3. Particularly, 此问题存在于升级助手中，使攻击者能够执行任意代码. 此漏洞可以通过发送一个设置了新属性的查询来触发 constructor.prototype.sourceURL 直接向Elastic或通过使用Kibana提交相同的查询. 请注意，Kibana需要重新启动或等待收集发生，以执行负载. 此漏洞似乎没有分配CVE. 该模块是根据Alex Brasetvik (alexbrasetvik) in a Hackerone report.

Torch chain attack

Our very own zeroSteiner 增加了一个通过链接多个漏洞来利用PyTorch模型服务器的模块. First, 它利用弱默认配置，将管理接口绑定到所有IP地址. Then, 一旦到达管理接口, 该模块利用了服务器端请求伪造漏洞(CVE-2023-43654)从任意服务器注册MAR(模型存档)模型文件. 最后，它利用了SnakeYaml (CVE-2022-1471)，它允许在YAML文件被SnakeYaml反序列化时执行代码. 该模块将恶意YAML文件嵌入到MAR文件中，并在加载该MAR文件时获取执行的任意Java类.

Updated MySQL version support

Thanks to the work of Rory McKinley，多个MySQL模块现在支持针对更新的MySQL 8的身份验证.0 versions. 这需要在Metasploit代码库的多个贡献中挖掘和修补历史代码, and to the Ruby MySQL library dependency. MySQL module highlights include:

• auxiliary/scanner/mysql/mysql_login - MySQL凭证的暴力和手动验证
• auxiliary/scanner/mysql/mysql_version - MySQL Server Version Enumeration
• auxiliary/scanner/mysql/mysql_hashdump - MySQL password hashdump support
• auxiliary/scanner/mysql/mysql_schemadump - Extracting MySQL schema details
• auxiliary/admin/mysql/mysql_sql -针对给定目标运行任意MySQL SQL查询

New module content (2)

Kibana升级助手遥测收集器原型污染

作者:Alex Brasetvik (alexbrasetvik)和h00die
Type: Exploit
Pull request: #18417 contributed by h00die
Path: linux / http / kibana_upgrade_assistant_telemetry_rce

Description: Kibana before version 7.6.3在升级助手中有一个原型污染bug. By setting a new constructor.prototype.我们就可以在Kibana用户的上下文中执行任意代码. There is no CVE for this at the moment.

PyTorch模型服务器注册和反序列化RCE

作者:Gal Elbaz, Guy Kaplan, Idan Levcovich, Spencer McIntyre和Swapneil Kumar Dash
Type: Exploit
Pull request: #18427 contributed by zeroSteiner
Path: multi/http/torchserver_cve_2023_43654

描述:此PR添加了一个模块，通过将SSRF漏洞与反序列化RCE漏洞链接来利用PyTorch TorchServer，以允许未经身份验证的远程攻击者任意执行Java代码. PR还修复了ClassLoader mixin处理数据存储选项的方式.

Enhancements and features (6)

• #18171 from dwelch-r7 修复了当框架启动时用户使用负载的问题 --defer-module-loads flag set. This also adds a new feature flag option defer_module_loads 哪一个，当启用时，默认情况下将推迟模块加载而不需要指定--defer-module-loads every time the framework boots. 最后，这大大缩短了框架的启动时间.
• #18256 from jmartin-tech —执行多个库依赖项的例行更新.
• #18296 from rorymckinley -更新多个MySQL模块，以支持新版本MySQL的身份验证.
• #18383 from cgranleese-r7 这为enum_computers模块增加了各种改进，包括Shell和Powershell支持，以及在非英语系统上运行时的改进.

Bugs fixed (2)

• #18411 from rtpt-erikgeiser - Fixes an issue where the services -R command generated invalid hosts such as 192.0.2.2% 如果为范围元数据注册了空字符串而不是nil.
• #18431 from zeroSteiner —切换端口转发IP的显示方式，将本地IP列在下面 local and the remote IP is listed under remote.

Documentation added (1)

• #18394 from errorxyz 这增加了辅助/scanner/http/http_traversal模块的文档.
• #18435 from h00die 修复了Wiki中的多个拼写错误.
• #18444 from h00die 修复模块文档中的拼写错误.

你可以在我们的网站上找到更多的文档 docs.metasploit.com.

Get it

与往常一样，您可以使用 msfupdate
自上一篇博文以来，你可以从
GitHub:

• Pull Requests 6.3.37...6.3.38
• Full diff 6.3.37...6.3.38

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
要安装fresh而不使用git，您可以使用open-source-only Nightly Installers or the
binary installers (也包括商业版).