รู้จักกับฟีเจอร์ใหม่ๆ ของ Rapid7 Metasploit Framework 5.0

รู้จักกับฟีเจอร์ใหม่ๆ ของ Rapid7 Metasploit Framework 5.0

รู้จักกับฟีเจอร์ใหม่ๆ ของ Rapid7 Metasploit Framework 5.0

เมื่อปลายเดือนมกราคมที่ผ่านมา Rapid7 ได้ออก Framework version ของ Metasploit อุปกรณ์ทดสอบการเจาะระบบซึ่งก็คือ 5.0 นี่คือการอัปเดตครั้งใหญ่ในรอบ 8 ปี (เวอร์ชั่นก่อนหน้านี้ออกในปี 2011) Metasploit Framework 5.0 (MF5) มีฟีเจอร์เพิ่มเข้ามากมาย อาทิ

 

 

Chrome cookies

นี่คือ post module ที่ใช้ความสามารถของ remote debugging ของ Chrome ในการอ่าน cookies จาก default Chrome profile หรือจาก user ทาง module นี้ใช้ –headless Chrome ที่ตั้งค่าเป็น hidden ที่เปิดใช้งาน remote debugging และเปิดไฟล์ HTML เพื่อสร้าง request ไปยัง remote debugging service ซึ่งทาง HTML จะ request cookies และจะทำ output ออกมาเป็น log file ไปให้กับตัว module

MailCleaner

module นี้มีไว้เพื่อทำ authentication ให้กับช่องโหว่ด้านความปลอดภัยของ remote code execution ใน MailCleaner Community Edition เมื่อมี search request ส่งไปยัง ManagetracingController ของ MailCleaner ทาง search request ตัวนั้น จะไปเปิด SOAP service request ที่ออกคำสั่ง (command) ให้กับ operating system การส่งคำสั่งไปให้กับ domain parameter ของ search request ทำให้มันออกคำสั่ง operating system command จาก server ได้โดยตรง

การออก module ใหม่

MF5 ออก module ใหม่ 3 ตัวดังนี้:

  • Mailcleaner Remote Code Execution มีหน้าที่จัดการ CVE-2018-20323
  • Adobe ColdFusion CKEditor unrestricted file เพื่อจัดการกับ CVE-2018-15961
  • Windows Persistent Service Installer

และมี Auxiliary กับ post modules ใหม่ 4 ตัวด้วยกัน

  • DoS Exploitation of Allen-Bradley’s Legacy Protocol (PCCC) ที่จัดการกับ CVE-2017-7924
  • Microsoft Windows Defender Evasive Executable
  • Microsoft Windows Defender Evasive JS.Net and HTA
  • Chrome Gather Cookies

 

เช่นเดียวกับการอัปเดตต่างๆ ที่มีอยู่ด้วยกันดังนี้

PR #11199 – อัปเดต components list ใน Joomla wordlist

PR #11183 – เพิ่มการทำ authentication ให้กับ LoginServlet

PR #11187 – ปรับปรุง LoginServlet ให้เข้ากับมาตรฐาน API และปรับปรุงเรื่องการทำ documentation ในส่วนของ functionality

PR #11163 – เพิ่ม endpoint /api/v1/events เพื่อรับ Mdm::Event data จาก API

ผู้ใช้สามารถอัปเดต Metasploit Framework ผ่านทาง msfupdate และติดตามข่าวสารและความคืบหน้าต่างๆ ได้จาก blog ของ Rapid7 ที่ post ใน Github

 

นอกจากนี้ เราสามารถใช้งาน MF5 ได้จากการทำ cloning ให้กับ Metasploit Framework repo (master branch) หรือจะ install โดยไม่ต้องใช้ Git ก็ทำได้จาก Nightly Installers หรือ the binary installers ที่เป็น open-source program และเข้าไปดูข้อมูลเพิ่มเติม + ดาวน์โหลด source code ได้ที่ https://github.com/rapid7/metasploit-framework/releases/tag/5.0.0

__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : [email protected]

Monster Connect
Monster Connect