Título: CVE-2013-2460 Publicado por: Stuxnet en 2 Septiembre 2013, 03:46 am (http://3.bp.blogspot.com/-_fIoBOrOBRo/UXLorCQckPI/AAAAAAAAB9I/S28HFkb5Cww/s640/java_hacked.jpg) CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method Este módulo de Metasploit abusa el método inseguro invoke() de la clase de ProviderSkeleton que permite para llamar a métodos estáticos arbitrarios con argumentos de usuario. La vulnerabilidad afecta a la versión Java 7u21 y versiones anteriores. (https://lh4.googleusercontent.com/-a8AgeOUowzQ/UdRBoBSCxKI/AAAAAAAABzE/fTin1k6_ba4/w700-h371-no/CVE-2013-2460.png) Explotando CVE-2013-2460 con mestasploit: // Cargamos el módulo Código: msf > use exploit/multi/browser/java_jre17_provider_skeleton Ahora realizamos un poco de Ingeniería Social para enviar la dirección generada por el metasploit para hacer la sesion meterpreter. (https://lh3.googleusercontent.com/-Y0ZtWWAKO1A/UdRBoEAq2EI/AAAAAAAABzI/nRsIvjcMJ6w/w700-h136-no/CVE-2013-2460_.png) |