最后更新于2024年8月9日星期五20:27:24 GMT

Black Hat & DEF CON

希望大家能抓到Rapid7的研究人员 @zeroSteiner & 杰克·海塞尔展示了Metasploit.4的特性,专注于在黑帽允许新的,流线型的攻击工作流程的组合. 如果没有,他们明天也会在DEF CON的W304房间进行演示!

新增模块内容(1)

Calibre Python代码注入漏洞(CVE-2024-6782)

作者:Amos Ng和Michael Heinzl
Type: Exploit
Pull request: #19357 contributed by h4x-x0r
Path: 多/ misc / calibre_exec
AttackerKB参考: CVE-2024-6782

描述:增加一个针对CVE-2024-6782的模块, 在Calibre v6的Content Server组件中存在未经身份验证的Python代码注入漏洞.9.0 - v7.14.0. 一旦启用(默认禁用), 它将在其默认配置中侦听TCP端口8080上的所有网络接口上的传入流量. 注入的有效负载将在执行Calibre的同一上下文中执行.

Bugs fixed (1)

  • #19355 from dledda-r7 修复了Meterpreter会话无法迁移的问题 MeterpreterDebugBuild is enabled.

Documentation

您可以在我们的网站上找到最新的Metasploit文档 docs.metasploit.com.

Get it

与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:

If you are a git 用户,可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only 夜间的安装程序 or the
商业版 Metasploit Pro

cta2-1