Metasploit Framework 6.4.99 (macOS, Linux, Windows) - 开源渗透测试框架Metasploit Framework 6.4.99 (macOS, Linux, Windows) - 开源渗透测试框架
Rapid7 Penetration testing, updated November 15, 2025
请访问原文链接:https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
Metasploit Framework 6.4 Released Mar 25, 2024.
🛰️ Metasploit 更新报告 · 2025-11-15
📅 发布日期:2025 年 11 月 15 日
名字里带 “SUS”,你还指望什么呢?
本周的版本更新重点是备受关注的 CVE-2025-59287 —— 一个严重等级(Critical-Severity)的 Windows Server Update Service(WSUS) 漏洞,该漏洞允许远程攻击者以 SYSTEM 权限执行代码(RCE)。
该漏洞已被记录在近期多个 Windows 零日漏洞中。它影响运行 WSUS 服务 的 Windows 服务器(该服务默认未启用)。包括 Huntress 和 Eye Security 在内的多家安全厂商报告称 (sysin),该漏洞已在野外被利用。美国 网络安全与基础设施安全局(CISA) 已于上月下令美国政府机构修补受影响的系统。
🆕 新增模块内容(1)
📘 Windows Server Update Service 反序列化远程代码执行漏洞
- 作者:msutovsky-r7 与 mwulftange
- 类型:Exploit(漏洞利用)
- Pull Request:#20674,由 msutovsky-r7 贡献
- 路径:
windows/http/wsus_deserialization_rce - AttackerKB 参考:CVE-2025-59287
- 描述:新增针对 CVE-2025-59287 的模块 (sysin)。该漏洞为 Windows Server Update Service(WSUS)中的未认证反序列化漏洞,可导致以 SYSTEM 权限进行远程代码执行。
✨ 改进与新特性(3)
- #20576(来自 msutovsky-r7)—— 更新 LINQPad 持久化模块,使其使用新的持久化 mixin。
- #20669(来自 stfnw)—— 更新
auxiliary/scanner/http/azure_ad_login模块,使其在错误信息中显示域名和用户名,以便用户了解是哪个账号引发了错误。 - #20690(来自 dbono-r7)—— 将 “cert” 管道添加到
auxiliary/scanner/smb/pipe_auditor模块的已知管道列表中。这使用户能够识别 Active Directory 证书服务(AD CS) 是否正在使用,因为这时 MS-ICPR 接口 会可用。
版本比较
Open Source: Metasploit Framework
下载:Metasploit Framework 6.4.99 (macOS, Linux, Windows) - 开源渗透测试框架
Commercial Support: Metasploit Pro
| All Features | Pro | Framework |
|---|---|---|
| - Collect | ||
| De-facto standard for penetration testing with more than 1,500 exploits | ✅ | ✅ |
| Import of network data scan | ✅ | ✅ |
| Network discovery | ✅ | ❌ |
| Basic exploitation | ✅ | ❌ |
| MetaModules for discrete tasks such as network segmentation testing | ✅ | ❌ |
| Integrations via Remote API | ✅ | ❌ |
| - Automate | ||
| Simple web interface | ✅ | ❌ |
| Smart Exploitation | ✅ | ❌ |
| Automated credentials brute forcing | ✅ | ❌ |
| Baseline penetration testing reports | ✅ | ❌ |
| Wizards for standard baseline audits | ✅ | ❌ |
| Task chains for automated custom workflows | ✅ | ❌ |
| Closed-Loop vulnerability validation to prioritize remediation | ✅ | ❌ |
| - Infiltrate | ||
| Basic command-line interface | ❌ | ✅ |
| Manual exploitation | ❌ | ✅ |
| Manual credentials brute forcing | ❌ | ✅ |
| Dynamic payloads to evade leading anti-virus solutions | ✅ | ❌ |
| Phishing awareness management and spear phishing | ✅ | ❌ |
| Choice of advance command-line (Pro Console) and web interface | ✅ | ❌ |
下载地址
Metasploit Framework 6.4.x (macOS, Linux, Windows)
- 请访问:https://sysin.org/blog/metasploit-framework-6/
macOS:metasploit-framework-VERSION.x86_64.dmg
Windows:metasploit-framework-VERSION-x64.msi
Debian/Ubuntu:
Linux deb x64:metasploit-framework_VERSION_amd64.deb
Linux deb x86:metasploit-framework_VERSION_i386.deb
Linux deb arm64:metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float):metasploit-framework_VERSION_armhf.deb
RHEL/Fedora:
Linux rpm x64:metasploit-framework-VERSION.el6.x86_64.rpm
相关产品:Metasploit Pro 4.22.9 (Linux, Windows) - 专业渗透测试框架
更多:HTTP 协议与安全
召回算法之u2i: FM、deepFM、召回双塔原理精讲与实战)
---Transformer(多头注意力、自注意力、位置编码)及实例与测试)
