请访问原文链接:Metasploit Framework 6.4.88 (macOS, Linux, Windows) - 开源渗透测试框架 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
主要版本的新特性请参看:Metasploit Framework 6.4 Released, Mar 25, 2024
Metasploit Weekly Wrap-Up Sep 12, 2025
🚨 新的 Lighthouse Studio RCE 模块
本周我们添加了一个新模块,该模块利用 Sawtooth Software 的 Lighthouse Studio 中的未授权模板注入漏洞(CVE-2025-34300),允许通过问卷模板执行任意 Perl 代码,影响 9.16.14 之前的版本。该模块能够利用托管在 Linux 或 Windows 服务器上的问卷。感谢最初的漏洞研究者 Adam Kues、Maksim Rogov,以及贡献此模块的社区成员 vognik;像这样的社区提交非常受欢迎,它们能让框架与最新的漏洞保持同步,并帮助提高受影响方的可见性。
🆕 新模块内容(2 个)
📶 深圳 Aitemi M300 Wi-Fi 中继器 未授权 RCE(time 参数)
作者:Valentin Lobstein
类型:利用模块(Exploit)
Pull request:#20455(贡献者:Chocapikk)
路径:linux/http/aitemi_m300_time_rce
AttackerKB 参考:CVE-2025-34152
描述:该模块为深圳 Aitemi M300 MT02 添加了利用模块 (sysin)。该 RCE 漏洞将以 root 用户身份执行命令和载荷。
🧨 Sawtooth Software 的 Lighthouse Studio 中的模板注入漏洞(CVE-2025-34300)
作者:Adam Kues 与 Maksim Rogov
类型:利用模块(Exploit)
Pull request:#20397(贡献者:vognik)
路径:multi/http/lighthouse_studio_unauth_rce_cve_2025_34300
AttackerKB 参考:CVE-2025-34300
描述:该模块利用 Sawtooth Software Lighthouse Studio 的 ciwweb.pl Web 应用中的模板注入漏洞(影响 9.16.14 之前的版本)。该应用在问卷模板中未能正确清理用户输入,允许未认证的攻击者注入并执行任意 Perl 命令 (sysin),这些命令将以运行 Web 服务器的用户身份在目标系统上执行。
✨ 增强与新特性(1 项)
🐞 修复的 Bug(2 项)
- #20511(贡献者:mwalas-r7)— 修复了
auxiliary/scanner/ssl/ssl_version模块中的 SNI 功能,使其可以针对具有多个主机名的主机进行扫描。 - #20516(贡献者:adfoster-r7)— 修复了 NixOs 上的
msfdb init初始化失败问题。
版本比较
Open Source: Metasploit Framework
下载:Metasploit Framework 6.4.88 (macOS, Linux, Windows) - 开源渗透测试框架
Commercial Support: Metasploit Pro
| All Features | Pro | Framework |
|---|---|---|
| - Collect | ||
| De-facto standard for penetration testing with more than 1,500 exploits | ✅ | ✅ |
| Import of network data scan | ✅ | ✅ |
| Network discovery | ✅ | ❌ |
| Basic exploitation | ✅ | ❌ |
| MetaModules for discrete tasks such as network segmentation testing | ✅ | ❌ |
| Integrations via Remote API | ✅ | ❌ |
| - Automate | ||
| Simple web interface | ✅ | ❌ |
| Smart Exploitation | ✅ | ❌ |
| Automated credentials brute forcing | ✅ | ❌ |
| Baseline penetration testing reports | ✅ | ❌ |
| Wizards for standard baseline audits | ✅ | ❌ |
| Task chains for automated custom workflows | ✅ | ❌ |
| Closed-Loop vulnerability validation to prioritize remediation | ✅ | ❌ |
| - Infiltrate | ||
| Basic command-line interface | ❌ | ✅ |
| Manual exploitation | ❌ | ✅ |
| Manual credentials brute forcing | ❌ | ✅ |
| Dynamic payloads to evade leading anti-virus solutions | ✅ | ❌ |
| Phishing awareness management and spear phishing | ✅ | ❌ |
| Choice of advance command-line (Pro Console) and web interface | ✅ | ❌ |
下载地址
Metasploit Framework 6.4.x (macOS, Linux, Windows)
macOS:metasploit-framework-VERSION.x86_64.dmg
Windows:metasploit-framework-VERSION-x64.exe
Debian/Ubuntu:
Linux deb x64:metasploit-framework_VERSION_amd64.deb
Linux deb x86:metasploit-framework_VERSION_i386.deb
Linux deb arm64:metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float):metasploit-framework_VERSION_armhf.deb
RHEL/Fedora:
Linux rpm x64:metasploit-framework-VERSION.el6.x86_64.rpm
相关产品:Metasploit Pro 4.22.8-2025082101 (Linux, Windows) - 专业渗透测试框架
更多:HTTP 协议与安全
文章用于推荐和分享优秀的软件产品及其相关技术,所有软件默认提供官方原版(免费版或试用版),免费分享。对于部分产品笔者加入了自己的理解和分析,方便学习和研究使用。任何内容若侵犯了您的版权,请联系作者删除。如果您喜欢这篇文章或者觉得它对您有所帮助,或者发现有不当之处,欢迎您发表评论,也欢迎您分享这个网站,或者赞赏一下作者,谢谢!
支付宝赞赏
微信赞赏
赞赏一下