Metasploit每周总结2024年2月23日

最后更新于2024年2月26日星期一12:16:44 GMT

LDAP捕获模块

Metasploit现在有了一个LDAP捕获模块
JustAnda7. 这项工作是作为谷歌代码之夏项目的一部分完成的.

当模块运行时，默认情况下需要特权来监听端口389. 的默认实现 BindRequest, SearchRequest, UnbindRequest，并将捕获明文凭证和NTLM哈希值，这些哈希值可以强制脱机. 当收到一个成功的绑定请求时 ldap_bind:不支持认证方法(7) 错误被发送到连接客户端.

该模块可以运行:

msf6 > use 辅助/服务器/捕获/ ldap
msf6 auxiliary(服务器/捕获/ ldap) > run

传入请求将存储其凭据以供以后使用:

[+] LDAP Login attempt => From:10.0.2.15:48198用户名:用户密码:Pass
[+] LDAP Login Attempt => From:127.0.0.1:55566	 用户名:admin	 ntlm_hash: 8 aa0e517cd547b4032ff7e9c5359c200879aa5a8031d3d74	 Domain:DOMAIN

这些值将存储在数据库中供以后检索:

msf6 auxiliary(服务器/捕获/ ldap) > creds
Credentials
===========
host origin service public private realm private_type JtR格式
----       ------     -------         ------  -------  -----        ------------  ----------
10.0.2.15  10.0.2.15 389/tcp (ldap)用户通过示例.com密码      

伊凡蒂开发模块

本周Metasploit发布的另一个值得称道的地方是 a module by sfewer-r7 这是两个链 最近披露的漏洞(cve - 2024 - 21893和cve - 2024 - 21887)在Ivanti网关上实现对脆弱目标的远程代码执行. 这两个漏洞都被广泛利用. 阅读Rapid7对漏洞利用链的完整技术分析 in AttackerKB.

新增模块内容(4)

身份验证捕获:LDAP

作者:JustAnda7
类型:辅助
Pull request: #18678 提供的 jmartin-tech
Path: 服务器/捕获/ ldap

描述:添加一个新的 辅助/服务器/捕获/ ldap 模块，用于模拟LDAP服务器. 服务器接受用户的绑定请求, 然后捕获用户凭据或NTLM散列, logged, 并持久化到当前活动的数据库. An ldap_bind:不支持认证方法(7) 错误被发送到连接客户端.

Ivanti连接安全未经身份验证的远程代码执行

作者:sfewer-r7
Type: Exploit
Pull request: #18792 提供的 sfewer-r7
Path: linux / http / ivanti_connect_secure_rce_cve_2024_21893
AttackerKB引用: cve - 2024 - 21887, cve - 2023 - 36661, cve - 2024 - 21893

描述:该模块利用了最近披露的SSRF漏洞(cve - 2024 - 21893)中的“Ivanti Connect Secure”和“Ivanti Policy Secure”. SSRF被链接到命令注入漏洞(cve - 2024 - 21887)，以实现未经验证的RCE.

Kafka UI未经认证的远程命令执行通过Groovy过滤器选项.

作者:BobTheShopLifter、Thingstad和h00die-gr3y h00die.gr3y@gmail.com
Type: Exploit
Pull request: #18700 提供的 h00die-gr3y
Path: linux / http / kafka_ui_unauth_rce_cve_2023_52251
AttackerKB参考: cve - 2023 - 52251

描述:此PR为Kafka-ui在v0和v0之间存在的命令注入漏洞添加了一个利用模块.4.0 and v0.7.1允许攻击者通过topic部分的groovy filter参数注入和执行任意shell命令.

QNAP QTS和QuTS英雄未经身份验证的远程代码执行在快速.cgi

作者:Spencer McIntyre, jheysel-r7和sfewer-r7
Type: Exploit
Pull request: #18832 提供的 sfewer-r7
Path: linux / http / qnap_qts_rce_cve_2023_47218
AttackerKB参考: cve - 2023 - 47218

描述:PR增加了一个模块目标 cve - 2023 - 47218，一个未经身份验证的命令注入漏洞，影响QNAP QTS和QuTH Hero设备. cve - 2023 - 47218 发现和披露 by Stephen Fewer.

增强模块(2)

已增强或重命名的模块:

• #18125 from JustAnda7 —此PR增加了一个模块，用于启动LDAP服务，支持捕获和存储 简单身份验证 attempts. 当使用默认选项启动此模块时，用户必须具有绑定到端口的权限 389.
• #18681 from h00die -此PR更新了已有的apache_ofbiz_deserialization模块，包括使用新发现的auth-bypass漏洞绕过身份验证的功能: cve - 2023 - 51467.

增强功能和特性(8)

• #18376 from JustAnda7 —该PR增加了对NTLM认证的LDAP捕获的支持，并增加了LDAP的默认实现 BindRequest, SearchRequest, UnbindRequest，以及针对不支持的请求的默认操作.
• #18817 from dwelch-r7 -此PR增加了对运行后输出的now桶模块选项的支持 options command. 这将适用于支持 RHOST or a SESSION 在SMB/MSSQL/MYSQL/PostgreSQL会话中使用新的会话类型特性时，只需要其中一个.
• #18847 from sjanusz-r7 这个PR增加了代理支持，可以通过 postgres_login module.
• #18848 from sjanusz-r7 -该PR增加了代理支持，以获得MSSQL会话通过 mssql_login module.
• #18854 from sjanusz-r7 -该PR增加了代理支持，以获得MySQL会话通过 mysql_login module.
• #18855 from sjanusz-r7 -此PR删除 cwd 从基于sql的会话中使用更合适的 def database_name 计算值而不是缓存变量.
• #18863 from sjanusz-r7 -此PR添加了 ENVCHANGE 类型到MSSQL客户端混合, 并使用它们来获取从服务器接收到的初始DB名称.
• #18864 from cgranleese-r7 —添加别名 ls and dir SMB会话内部.

bug修复(5)

• #18770 from dwelch-r7 修复了多个新的会话类型(SMB, PostgreSQL, MSSQL, MySQL)被启用时的错误 特性设置postgresql_session_type为true command.
• #18842 from upsidedwn -更新Metasploit Dockerfile以正确地尊重用户提供的捆绑器配置参数.
• #18850 from adfoster-r7 —修复ldap服务器测试失败的问题.
• #18861 from cgranleese-r7 -通过OptionalSession mixin从模块中移除SessionType值.
• #18871 from adfoster-r7 修复了使用webconsole时的崩溃.

新增文档(1)

• #18857 from jlownie -更新了运行Metasploit数据库的Wiki文档，使其更加清晰.

你可以在我们的网站上找到更多的文档 docs.metasploit.com.

Get it

与往常一样，您可以使用 msfupdate
自上一篇博文以来，你可以从
GitHub:

• Pull Requests 6.3.56...6.3.57
• Full diff 6.3.56...6.3.57

If you are a git 用户，可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git，您可以使用open-source-only 夜间的安装程序 or the
商业版 Metasploit职业