首页 > 编程语言 >Metasploit Pro 4.22.4-2024091601 发布下载,新增功能概览

Metasploit Pro 4.22.4-2024091601 发布下载,新增功能概览

时间:2024-09-20 09:37:41浏览次数:11  
标签:Metasploit PR Pro 2024091601 2024 漏洞 模块

Metasploit Pro 4.22.4-2024091601 发布下载,新增功能概览

Metasploit Pro 4.22.4-2024091601 (Linux, Windows) - 专业渗透测试框架

Rapid7 Penetration testing, release Sep 16, 2024

请访问原文链接:https://sysin.org/blog/metasploit-pro-4/,查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


sysin

世界上最广泛使用的渗透测试框架

知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。

dashboard

新增功能

2024 年 9 月 16 日 版本 4.22.4-2024091601

改进

  • Pro:更新 Metasploit Pro 的暴力破解功能,现在支持 LDAP 登录扫描。
  • Pro:我们将 Nmap 的版本升级到 7.95 版本。在 Windows 系统上,此升级还将 WinPcap 依赖项替换为 Npcap。连接到 Windows 环境以执行 Metasploit Pro 更新或安装(通过 RDP、SSH 或类似方式)的用户可能会在此更新期间暂时断开与服务器的连接 - 这是支持最新网络扫描功能所必需的。Metasploit 专业版。
  • 优点:Metasploit 的错误报告诊断在 Windows 环境中得到了改进。
  • PR 19368 - 这调整了 exploit/multi/http/geoserver_unauth_rce_cve_2024_36401 动态拉取并测试 feature_type 清单以建立 RCE。这将使模块对于不同安装方式的安装更加稳健 feature_type 配置。
  • PR 19409 - 这在现有的基础上添加了额外的指纹检查 post/linux/gather/checkvm 模块以更准确地识别虚拟机。
  • PR 19415 - 更改输出 ldap_esc_vulnerable_cert_finder 变得更有用,包括显示更改以支持有用的模板,并解释为什么模板可能容易受到攻击。

有效负载增强

  • PR 19435 - 添加新的 php/minify 编码器通过删除关键字后面和块开头之前的空格来缩小 PHP 有效负载。它删除注释、空行、新行以及前导和尾随空格。

修复

  • 专业版:修复了导致带有特殊字符的项目描述在主页上错误呈现的问题。
  • 专业版:修复了暴力破解功能屏幕中阻止应用负载设置的问题。
  • 专业版:修复了尝试删除工作区时的问题。
  • Pro:修复了当 Pro 作为气隙安装的一部分运行时尝试配置 Sonar 时的问题。
  • PR 19376 - 这修复了 php/base64 之前生成 php 有效负载的编码器在运行时由于单引号插入有效负载的方式而失败。
  • PR 19381 - 这修复了 gitlab_login 扫描器,以便它使用正确的数据存储选项用户名和密码,这是登录扫描器的标准。在此修复之前,扫描仪使用的是 HttpUsernameHttpPassword 并忽略数据存储选项 UsernamePassword.
  • PR 19411 - 修复了调用时 Metasploit 的 RPC 层崩溃的问题 module.results 当存在 nil 模块结果时。
  • PR 19421 - 这更新了 windows/fileformat/adobe_pdf_embedded_exe exploit 定义它与两者兼容 ARCH_X86ARCH_X64 有效负载,因为它只是生成一个 EXE。
  • PR 19438 - 修复了以下错误 ldap_login 模块如果登录成功。

模块

  • PR 19363ray 添加了两个漏洞利用模块和一个辅助模块。这两个漏洞利用模块允许通过命令注入在目标系统上远程执行任意命令。辅助模块允许通过本地文件包含漏洞读取远程系统上的文件。
  • PR 19380 - 添加了一个针对 CVE-2023-6329 的辅助模块,这是一个不正确的访问控制漏洞,允许未经身份验证的用户计算有效凭据并向 Control iD 的 Web 界面添加新的管理用户 iDSecure <= v4.7.43.0.
  • PR 19386 - 添加了针对 CVE-2024-7593 的漏洞利用,这是 Ivanti Virtual Traffic Manager (vTM) 中的不当访问控制漏洞。它允许未经身份验证的远程攻击者向 22.7R2 之前的产品的 Web 界面添加新的管理用户。
  • PR 19393 - 添加了 CVE-2024-32113 的补丁绕过(此漏洞利用的原始漏洞)。 2014 年 12 月 18 日发布的补丁不允许利用路径遍历漏洞,但后来透露,该漏洞端点始终可以访问,无需路径遍历。因此,CVE-2024-38856 作为错误授权发布,并于 2015 年 12 月 18 日修补。
  • PR 19395 - 添加一个 post 模块来收集密码和存储在 Electterm 程序中的已保存会话信息。
  • PR 19422 - 添加了一个针对 pgAdmin 8.4 及以上所有版本的新模块,该模块通过验证二进制路径 API 利用远程代码执行 (RCE) CVE-2024-3116 缺陷。
  • PR 19424 - 添加新模块 exploits/multi/http/wp_givewp_rce 它的目标是 CVE-2024-5932 - WordPress GiveWP 插件(最高版本 3.14.1)中的一个严重 RCE 漏洞。

下载地址

仅显示最新版,历史版本已存档,不定期清理。

Metasploit Pro 4.22.4-2024091601 for Linux, Sep 16, 2024

推荐运行在 Ubuntu 22.04 OVF 中!

Metasploit Pro 4.22.4-2024091601 for Windows, Sep 16, 2024

推荐运行在 Windows Server 2022 OVF 中!

更多:HTTP 协议与安全

标签:Metasploit,PR,Pro,2024091601,2024,漏洞,模块
From: https://www.cnblogs.com/sysin/p/18420699

相关文章

  • Java JNA、JNI、ProcessBuilder、Runtime.getRuntime.exec()详解
     Java提供了几种方式与非Java代码进行交互(比如调用本地库或执行外部程序),其中包括JNA、JNI、ProcessBuilder和Runtime.getRuntime().exec()。下面是对每种方式的详细解释。1.JNA(JavaNativeAccess)简介JNA是Java与本地代码进行交互的一种高层次API,它允许Java程序调......
  • 01 [51单片机 PROTEUS仿真设计]基于温度传感器的恒温控制系统
    目录一、主要功能二、硬件资源三、程序编程四、实现现象一、主要功能基于51单片机,具有晶振电路、复位电路、DS18B20温度传感器、LED灯和蜂鸣器灯光报警模块、LCD1602显示模块、L298N驱动电机散热模块和按键模块。主要功能:系统开始运行,显示屏显示最大温度阈值和最小......
  • 02 [proteus仿真]基于51单片机,74hs373,8255A扩展 流水灯设计
    目录一、主要功能二、硬件资源三、程序编程四、实现现象一、主要功能基于51单片机,74hs373,8255A扩展流水灯设计二、硬件资源基于KEIL5编写C++代码,PROTEUS8.15进行仿真,全部资源在页尾,提供安装包。三、程序编程#include<reg52.h>#include<intrins.h>#include......
  • Why Is Prompt Tuning for Vision-Language Models Robust to Noisy Labels?
    文章汇总本文的作者针对了提示学习的结构设计进行了分析,发现了一些规律:1)固定的类名令牌为模型的优化提供了强正则化,减少了由噪声样本引起的梯度。2)从多样化和通用的web数据中学习到的强大的预训练图像文本嵌入为图像分类提供了强大的先验知识。3)CLIP的噪声零样本预测......
  • 基于Prometheus和Grafana的现代服务器监控体系构建
    引言随着云计算和微服务架构的迅速发展,服务器监控已成为保障系统稳定性和性能的重要手段。Prometheus和Grafana作为两个非常受欢迎的开源项目,为构建现代监控体系提供了强有力的支持。本文将详细探讨如何使用Prometheus和Grafana构建现代服务器监控体系,并结合实际案例进行技术......
  • CMPINF 0401 Intermediate Programming
    CMPINF0401IntermediateProgrammingAssignment1Topics:Reviewofexpressions,conditions,loopsandI/OOnline:Wednesday,September4,2024Due:Allsource(.java)filesandacompletedAssignmentInformationSheetzippedintoasinglefileandsubmit......
  • Professional Linux Kernel Architecture(一)
    基于linux内核2.6.24版本,书籍:ProfessionalLinuxKernelArchitecture英文版(可在https://github.com/welldef/os_books.git下载)1一些概念1.1微内核和单体内核微内核:只有最基本的功能直接在中央内核(微内核)中实现。所有其他功能都委托给各自独立的进程,这些进程通过通信接口与......
  • Vue 依赖注入组件通信:provide / inject 使用详解
    引言在Vue.js中,我们经常会遇到组件之间需要共享数据的情况。一种常见的解决方案是通过props和$emit事件来进行数据传递,但对于多层嵌套的组件结构或共享状态的场景,这种方式显得繁琐而不直观。幸运的是,Vue.js提供了一个稍微优雅的解方案:依赖注入-provide和inject。......
  • SciTech-Mathmatics-Probability+Statistics-数学专业社区(math.stackexchange.com/qu
    SamplingDistributionCouldsomegiveanexamplesof"asetofdistributionsindexedbyaparameter"?Q:Couldsomegiveanexamplesof"asetofdistributionsindexedbyaparameter"?Thispostsays:Thelog-likelihoodis,astheter......
  • Unity自定义图片数字TextMeshPro
    本文转载自https://www.cnblogs.com/sailJs/p/181689221、首先要有一张包含了图片字的图集,每个图片字一个Spirte 2、然后右键-> 创建创建好的TMP_SpriteAsset 3、编辑SpriteCharacterTable调整顺序,将index和图片数字对上修改下Unicode值(默认都是0xFFFE),比如9的Un......