Metasploit Framework 6.4.90 (macOS, Linux, Windows) - 开源渗透测试框架
Rapid7 Penetration testing, updated Sep 27, 2025
请访问原文链接:https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
主要版本的新特性请参看:Metasploit Framework 6.4 Released, Mar 25, 2024
Metasploit Weekly Wrap-Up Sep 12, 2025
🛰️ Metasploit 周报 · 2025年9月26日
📅 发布日期:2025年9月27日
🆕 新增模块内容(2)
Cron 持久化
- 作者: h00die
- 类型: ⚡ Exploit
- PR: #20508
- 路径:
multi/persistence/cron
- 描述: 更新 Cron 持久化模块以使用新的 mixin。
FreePBX ajax.php 认证后 SQLi → RCE
- 作者: Echo_Slow、Piotr Bazydlo、Sonny
- 类型: ⚡ Exploit
- PR: #20559
- 路径:
unix/http/freepbx_unauth_sqli_to_rce
- CVE: CVE-2025-57819
- 描述: 新增 FreePBX SQL 注入(CVE-2025-57819)模块,通过向
cron_jobs
表插入新条目实现远程代码执行。
✨ 增强与新特性(3)
- #20508 —— ⏰ 更新 Cron 持久化模块,使用新的 mixin。
- #20524 —— 📦 更新
yum_package_manager_persistence
模块,使用新的持久化 mixin。 - #20533 —— 🧩 为 MITRE ATT&CK 技术 T1003 及子技术添加参考,方便快速映射攻击模拟。
🐞 修复的 Bug(5)
- #20512 —— 📚 升级
bson
→ 5.1.1、ed25519
→ 1.4.0,兼容 gcc & Ruby 3.2.8。 - #20553 —— 🔐 修复某些情况下凭证
private
类型无法省略的问题。 - #20557 —— 🌐 修复多值
RHOSTS
在报告失败时因数据库错误导致崩溃。 - #20561 —— 📝 修复无数据 notes 报告导致的崩溃(如
mssql_enum
、wordpress_scanner
)。 - #20562 —— ⚙️ 修复正则 (sysin),适配 WebLogic Server 不同版本的版本号语法差异。
📖 新增文档(1)
- #20540 —— 💡 为常用提示文件增加更多内容,在启动或执行
tip
命令时显示。
版本比较
Open Source: Metasploit Framework
下载:Metasploit Framework 6.4.90 (macOS, Linux, Windows) - 开源渗透测试框架
Commercial Support: Metasploit Pro
All Features | Pro | Framework |
---|---|---|
- Collect | ||
De-facto standard for penetration testing with more than 1,500 exploits | ✅ | ✅ |
Import of network data scan | ✅ | ✅ |
Network discovery | ✅ | ❌ |
Basic exploitation | ✅ | ❌ |
MetaModules for discrete tasks such as network segmentation testing | ✅ | ❌ |
Integrations via Remote API | ✅ | ❌ |
- Automate | ||
Simple web interface | ✅ | ❌ |
Smart Exploitation | ✅ | ❌ |
Automated credentials brute forcing | ✅ | ❌ |
Baseline penetration testing reports | ✅ | ❌ |
Wizards for standard baseline audits | ✅ | ❌ |
Task chains for automated custom workflows | ✅ | ❌ |
Closed-Loop vulnerability validation to prioritize remediation | ✅ | ❌ |
- Infiltrate | ||
Basic command-line interface | ❌ | ✅ |
Manual exploitation | ❌ | ✅ |
Manual credentials brute forcing | ❌ | ✅ |
Dynamic payloads to evade leading anti-virus solutions | ✅ | ❌ |
Phishing awareness management and spear phishing | ✅ | ❌ |
Choice of advance command-line (Pro Console) and web interface | ✅ | ❌ |
下载地址
Metasploit Framework 6.4.x (macOS, Linux, Windows)
- 请访问:https://sysin.org/blog/metasploit-framework-6/
macOS:metasploit-framework-VERSION.x86_64.dmg
Windows:metasploit-framework-VERSION-x64.exe
Debian/Ubuntu:
Linux deb x64:metasploit-framework_VERSION_amd64.deb
Linux deb x86:metasploit-framework_VERSION_i386.deb
Linux deb arm64:metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float):metasploit-framework_VERSION_armhf.deb
RHEL/Fedora:
Linux rpm x64:metasploit-framework-VERSION.el6.x86_64.rpm
相关产品:Metasploit Pro 4.22.8-2025091701 (Linux, Windows) - 专业渗透测试框架
更多:HTTP 协议与安全