Metasploit Framework 6.4.85 (macOS, Linux, Windows) - 开源渗透测试框架

Rapid7 Penetration testing, updated Aug 23, 2025

Posted by sysin on 2025-08-24
Estimated Reading Time 5 Minutes
Words 1.2k In Total
更新日期:Sun Aug 24 2025 09:11:00 GMT+0800,阅读量:

请访问原文链接:Metasploit Framework 6.4.85 (macOS, Linux, Windows) - 开源渗透测试框架 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org


sysin

世界上最广泛使用的渗透测试框架

知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。

Dashboard

新增功能

主要版本的新特性请参看:Metasploit Framework 6.4 Released, Mar 25, 2024

Metasploit Weekly Wrap-Up Aug 23, 2025

新增模块内容(1):

Netdata ndsudo privilege escalation (Netdata ndsudo 提权漏洞)

  • 作者:mia-0 和 msutovsky-r7
  • 类型:Exploit
  • Pull request: #20460 by msutovsky-r7
  • 路径:linux/local/ndsudo_cve_2024_32019
  • AttackerKB 参考:CVE-2024-32019
  • 描述:为 CVE-2024-32019 添加模块 —— ndsudo 的本地提权漏洞。

增强和新功能(3):

  • #20457 来自 adfoster-r7:更新了引用 Kerberos 凭据缓存路径或 PKCS12 证书的模块,支持从磁盘文件或数据库 ID(格式:id:123)中读取。
  • #20469 来自 adfoster-r7:改进 Kerberos 文件加载错误信息 (sysin)。当设置无效的 Kerberos krb5ccname 凭据缓存文件时,现在会明确告知原因,例如文件过期、领域不匹配、服务名错误等。
  • #20471 来自 zeroSteiner:增强 ldap_esc_vulnerable_cert_finder 模块。该模块现在会同时检查模板和 CA 服务器的注册权限。用户可利用新的 REPORT 数据存储选项,只显示既存在漏洞、又具备注册权限的模板。

错误修复(1):

  • #20485 来自 adfoster-r7:移除了在特定条件下对不存在的 super 方法的错误调用。

新增文档(1):

  • #20429 来自 jphamgithub:更新并整合了文档中的“交流渠道”部分。

Metasploit Weekly Wrap-Up Aug 15, 2025

新增模块内容 (3):

✅ PivotX 远程代码执行

作者: HayToN 和 msutovsky-r7
类型: Exploit
Pull request: #20400,贡献者 msutovsky-r7
路径: linux/http/pivotx_index_php_overwrite
AttackerKB 参考: CVE-2025-52367

说明: 本模块新增了一个利用 PivotX 中已认证 RCE 的漏洞利用模块,对应 CVE-2025-52367。已认证用户可以覆盖 /pivotx/index.php 端点并写入 PHP payload,从而在运行 Web 应用的用户上下文中执行代码。一旦会话建立,该模块会恢复 /pivotx/index.php 的原始内容。

✅ Wazuh 服务器因不安全反序列化导致的远程代码执行

作者: DanielFih00die-gr3y
类型: Exploit
Pull request: #20387,贡献者 h00die-gr3y
路径: linux/http/wazuh_auth_rce_cve_2025_24016
AttackerKB 参考: CVE-2025-24016

说明: 本模块新增了一个 Wazuh 服务器的已认证 RCE 漏洞利用,对应 CVE-2025-24016。Wazuh 是一个开源平台,用于威胁预防、检测和响应。从 4.4.0 版本开始到 4.9.1 之前,存在不安全的反序列化漏洞,允许在 Wazuh 服务器上实现远程代码执行。

✅ Windows 下载并执行

作者: Muzaffer Umut ŞAHİN
类型: Payload (单一)
Pull request: #20386,贡献者 xHector1337
路径: windows/x64/download_exec

说明: 本模块新增了一个 payload;payload/windows/x64/download_execute 可用于通过 HTTP 下载并执行二进制文件,并且代码体积更小。

增强与新功能 (2):

  • #20445 来自 zeroSteiner —— 改进了 ActiveDirectory mixin,对于众所周知的本地系统 SID (S-1-5-18),跳过不必要的 LDAP 查询。通过特殊处理,避免了重复冗余查询,减少了详细日志中的噪音,并提升了性能。
  • #20451 来自 bcoles —— 新增 fetch 命令 lwp-request GET。目前该命令在 Linux 目标上作为一个选项启用。

修复的 Bug (3):

  • #20458 来自 adfoster-r7 —— 修复了 Kerberos 文档中的渲染问题。
  • #20461 来自 adfoster-r7 —— 改进了 LDAP 登录模块在 LDAP::Auth=schannel 设置下的登录摘要,并修复了模块在取消执行前的边界错误。
  • #20462 来自 adfoster-r7 —— 修复了 Kerberos 身份验证错误处理时的日志记录 Bug。

版本比较

Open Source: Metasploit Framework

下载:Metasploit Framework 6.4.85 (macOS, Linux, Windows) - 开源渗透测试框架

Commercial Support: Metasploit Pro

All Features Pro Framework
- Collect
De-facto standard for penetration testing with more than 1,500 exploits
Import of network data scan
Network discovery
Basic exploitation
MetaModules for discrete tasks such as network segmentation testing
Integrations via Remote API
- Automate
Simple web interface
Smart Exploitation
Automated credentials brute forcing
Baseline penetration testing reports
Wizards for standard baseline audits
Task chains for automated custom workflows
Closed-Loop vulnerability validation to prioritize remediation
- Infiltrate
Basic command-line interface
Manual exploitation
Manual credentials brute forcing
Dynamic payloads to evade leading anti-virus solutions
Phishing awareness management and spear phishing
Choice of advance command-line (Pro Console) and web interface

下载地址

Metasploit Framework 6.4.x (macOS, Linux, Windows)

macOS:metasploit-framework-VERSION.x86_64.dmg

Windows:metasploit-framework-VERSION-x64.exe

Debian/Ubuntu
Linux deb x64:metasploit-framework_VERSION_amd64.deb
Linux deb x86:metasploit-framework_VERSION_i386.deb
Linux deb arm64:metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float):metasploit-framework_VERSION_armhf.deb

RHEL/Fedora
Linux rpm x64:metasploit-framework-VERSION.el6.x86_64.rpm

相关产品:Metasploit Pro 4.22.8-2025080401 (Linux, Windows) - 专业渗透测试框架

更多:HTTP 协议与安全


捐助本站 ❤️ Donate

点击访问官方网站


文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!

支付宝赞赏 微信赞赏

赞赏一下


☑️ 评论恢复,欢迎留言❗️
敬请注册!点击 “登录” - “用户注册”(已知不支持 21.cn/189.cn 邮箱)。请勿使用联合登录(已关闭)