Metasploit Framework 6.4.120 (macOS, Linux, Windows) - 开源渗透测试框架
Metasploit Framework 6.4.120 (macOS, Linux, Windows) - 开源渗透测试框架 Rapid7 Penetration testing, updated March 2026 请访问原文链接:https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org 知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);更重要的是,它赋能防御者,使其能够始终在攻防博弈中领先一步(甚至两步)。 图为 Metasploit Pro Dashboard。 欢迎来到 Metasploit 的世界。你是否是一名 Metasploit 用户,想要开始使用它,或者提升你的漏洞利用与渗透能力(前提是对你有授权的目标进行测试)?最快的入门方式是下载 Metasploit 每夜构建安装包(nightly installers)。通过它,你可以同时获得免费的开源 Metasploit Framework,以及 Metasploit Pro 的免费试用版。 如果你使用的是 Kali Linux,那么 Metasploit 已经默认预装。关于如何在 Kali Linux 中开始使用 Metasploit,请参阅 Kali 的相关文档。 Metasploit 更新周报 - 2026.03.07 Encoder 暴露! Rapid7 的一些发布版本会增加新的进入方式;而这一次则增加了新的驻留方式。当然,工具箱里仍然有新的 RCE 玩具(通过 Jinja2 SSTI 的 Tactical RMM,以及一个未认证的 MajorDoMo 漏洞利用)。不过,本次更新的核心主题是 payload:对它们的打包与交付方式拥有更多控制,并减少那些“为什么它一运行就立刻死掉?”的情况。Rapid7 和模块作者社区一样,已经厌倦了很多事情都必须手动完成。现在你可以直接为 exploit 和 payload 模块选择 encoder(编码器)(并调整其选项),而无需额外编写胶水代码 (sysin)。更少的底层拼装工作,更多在运行时选择合适的 badchar 规避编码器。 🧩 新模块内容 (3) 🐧 Linux RC4 打包器(内存执行)(x86) 作者: Massimo Bertocchi 类型: Evasion(规避) 拉取请求: #20965 contributed by litemars 路径: linux/x86/rc4_packer 描述: 新增模块 evasion/linux/x86/rc4_packer,该模块使用 RC4 对生成的 payload 进行加密,在前面添加一个可选的基于 sleep 的延迟(nanosleep),并在运行时通过一个紧凑的预编译 stub 解密并执行 payload。 🎯 Tactical RMM Jinja2 SSTI 远程代码执行 作者: Gabriel Gomes 和 Valentin Lobstein chocapikk(at)leakix.net 类型: Exploit(漏洞利用) 拉取请求: #21017 contributed by Chocapikk 路径: linux/http/tacticalrmm_ssti_rce_cve_2025_69516 AttackerKB 参考: CVE-2025-69516 描述: 新增一个针对 CVE-2025-69516 的 exploit 模块。该漏洞存在于 Tactical RMM < 1.4.0 中,是一个 Jinja2 SSTI 漏洞,其中报告模板预览端点在没有沙箱隔离的情况下评估用户可控模板,从而允许已认证的远程代码执行 (sysin)。该模块通过 Knox API 登录,从 /env-config.js 自动检测 API 主机,并利用模板预览功能。 🏠 MajorDoMo 通过 cycle_execs 竞争条件实现远程命令注入 作者: Valentin Lobstein chocapikk(at)leakix.net 类型: Exploit(漏洞利用) 拉取请求: #21000 contributed by Chocapikk 路径: multi/http/majordomo_cmd_injection_rce AttackerKB 参考: CVE-2026-27175 描述: 为 MajorDoMo(一个开源家庭自动化平台)新增三个 exploit 模块。这三个漏洞均为未认证漏洞。 🚀 增强和功能 (2) 🐞 已修复的漏洞 (5) 下载:Metasploit Framework 6.4.120 (macOS, Linux, Windows) - 开源渗透测试框架 Metasploit Framework 6.4.x (macOS, Linux, Windows) macOS:metasploit-framework-VERSION.x86_64.dmg Windows:metasploit-framework-VERSION-x64.msi Debian/Ubuntu: RHEL/Fedora: 相关产品:Metasploit Pro 4.22 (Linux, Windows) - 专业渗透测试框架 更多:HTTP 协议与安全世界上最广泛使用的渗透测试框架
新增功能
Metasploit Framework 6.4 Released Mar 25, 2024.
版本比较
Open Source: Metasploit Framework
Commercial Support: Metasploit Pro
All Features Pro Framework - Collect De-facto standard for penetration testing with more than 1,500 exploits ✅ ✅ Import of network data scan ✅ ✅ Network discovery ✅ ❌ Basic exploitation ✅ ❌ MetaModules for discrete tasks such as network segmentation testing ✅ ❌ Integrations via Remote API ✅ ❌ - Automate Simple web interface ✅ ❌ Smart Exploitation ✅ ❌ Automated credentials brute forcing ✅ ❌ Baseline penetration testing reports ✅ ❌ Wizards for standard baseline audits ✅ ❌ Task chains for automated custom workflows ✅ ❌ Closed-Loop vulnerability validation to prioritize remediation ✅ ❌ - Infiltrate Basic command-line interface ❌ ✅ Manual exploitation ❌ ✅ Manual credentials brute forcing ❌ ✅ Dynamic payloads to evade leading anti-virus solutions ✅ ❌ Phishing awareness management and spear phishing ✅ ❌ Choice of advance command-line (Pro Console) and web interface ✅ ❌ 下载地址
Linux deb x64:metasploit-framework_VERSION_amd64.deb
Linux deb x86:metasploit-framework_VERSION_i386.deb
Linux deb arm64:metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float):metasploit-framework_VERSION_armhf.deb
Linux rpm x64:metasploit-framework-VERSION.el6.x86_64.rpm