Metasploit Framework 6.4.125 (macOS, Linux, Windows) - 开源渗透测试框架

Metasploit Framework 6.4.125 (macOS, Linux, Windows) - 开源渗透测试框架Rapid7 Penetration testing, updated March 2026请访问原文链接https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品转载请保留出处。作者主页sysin.org世界上最广泛使用的渗透测试框架知识就是力量尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin)更重要的是它赋能防御者使其能够始终在攻防博弈中领先一步甚至两步。图为 Metasploit Pro Dashboard。欢迎来到 Metasploit 的世界。你是否是一名 Metasploit 用户想要开始使用它或者提升你的漏洞利用与渗透能力前提是对你有授权的目标进行测试最快的入门方式是下载 Metasploit 每夜构建安装包nightly installers。通过它你可以同时获得免费的开源 Metasploit Framework以及 Metasploit Pro 的免费试用版。如果你使用的是 Kali Linux那么 Metasploit 已经默认预装。关于如何在 Kali Linux 中开始使用 Metasploit请参阅 Kali 的相关文档。新增功能Metasploit 更新周报 - 2026.03.27更好的 NTLM 中继功能Better NTLM Relaying Functionality本周发布对 SMB NTLM 中继服务器功能进行了改进。过去该功能已扩展支持在通过 SMB 服务接收连接的同时将认证中继到 HTTPESC8、MSSQL 和 LDAP 等模块。在此前版本中客户端必须正确处理 SMB 的STATUS_NETWORK_SESSION_EXPIRED错误码才能将一次认证尝试中继到多个目标。除 Windows 的 “net use” 外大多数客户端无法处理该错误因此与 Metasploit 的 SMB NTLM 中继功能不兼容。现在当仅指定单个目标时Metasploit 会调整其中继策略立即转发 Net-NTLM 消息从而兼容更广泛的客户端包括 Linux 的 smbclient。此外RubySMB 中的客户端也已更新以模拟 “net use” 的行为使来自 RubySMB 的认证请求也可以成功中继到多个目标。新增模块内容New module content(3)✅ ️ ESC/POS 打印机命令注入ESC/POS Printer Command InjectorAuthor: FutileSkillsType: AuxiliaryPull request: #20478 contributed by futileskillsPath: admin/printer/escpos_tcp_command_injectorDescription: 新增一个辅助模块用于利用 CVE-2026-23767这是一个存在于联网 Epson 兼容打印机中的未认证 ESC/POS 命令漏洞。该漏洞允许攻击者通过网络发送精心构造的命令注入自定义 ESC/POS 打印指令这类指令常用于各类小票打印机。✅ Eclipse Che machine-exec 未认证远程代码执行Eclipse Che machine-exec Unauthenticated RCEAuthors: Greg Durysgregdurys.security(at)proton.meand Richard LeachType: ExploitPull request: #20835 contributed by GregDurysPath: linux/http/eclipse_che_machine_exec_rceAttackerKB reference: CVE-2025-12548Description: 新增针对 CVE-2025-12548 的模块这是一个存在于 Eclipse Che machine-exec 服务中的未认证远程代码执行RCE漏洞。攻击者可以通过 WebSocket端口 3333连接并通过 JSON-RPC 在无需认证的情况下执行命令。该漏洞影响 Red Hat OpenShift DevSpaces 环境。✅ Barracuda ESG TAR 文件名命令注入Barracuda ESG TAR Filename Command InjectionAuthors: Curt Hyvarinen, Mandiant, and cfielding-r7Type: ExploitPull request: #21033 contributed by AlpenlolPath: linux/smtp/barracuda_esg_tarfile_rceAttackerKB reference: CVE-2023-2868Description: 新增针对 CVE-2023-2868 的利用模块该漏洞是 Barracuda 邮件安全网关ESG设备中的一个命令注入漏洞。TAR 附件中的文件名在未进行安全过滤的情况下被传递给 shell 命令攻击者可以通过反引号注入实现远程代码执行RCE。⚙️增强与功能Enhancements and features(1)#21049 from h00die - 更新了后渗透模块使其使用一个 API当在 WritableDir 选项中设置多个环境变量时可以自动展开这些变量。已修复问题Bugs fixed(5)#20967 from jheysel-r7 - 修复了一个问题该问题会阻止 Ruby SMB Client 和 smbclient 成功进行认证中继。这些客户端现在已兼容 Msf::Exploit::Remote::SMB::RelayServer。#21148 from adfoster-r7 - 修复了一个问题即全局将 VERBOSE 日志设置为 false 时仍然会输出详细日志。#21169 from SaiSakthidar - 修复了由于 Ruby 字符串编码兼容性问题导致无法识别 Mach-O 二进制文件的错误。#21173 from msutovsky-r7 - 修复了在使用 msfvenom 生成 VBS payload 时发生崩溃的问题命令示例-p windows/meterpreter/reverse_tcp LHOST192.168.1.1 LPORT44 -f vbs。#21174 from adfoster-r7 - 修复了解析 msfconsole 的-x参数时的错误当参数中包含并非用于分隔命令的额外分号时例如msfconsole -x set option_name a;b会出现问题。Metasploit Framework 6.4 Released Mar 25, 2024.版本比较Open Source: Metasploit Framework下载Metasploit Framework 6.4.125 (macOS, Linux, Windows) - 开源渗透测试框架Commercial Support: Metasploit Pro下载Metasploit Pro 4.22.9-2026030301 (Linux, Windows) - 专业渗透测试框架All FeaturesProFramework-CollectDe-facto standard for penetration testing with more than 1,500 exploits✅✅Import of network data scan✅✅Network discovery✅❌Basic exploitation✅❌MetaModules for discrete tasks such as network segmentation testing✅❌Integrations via Remote API✅❌-AutomateSimple web interface✅❌Smart Exploitation✅❌Automated credentials brute forcing✅❌Baseline penetration testing reports✅❌Wizards for standard baseline audits✅❌Task chains for automated custom workflows✅❌Closed-Loop vulnerability validation to prioritize remediation✅❌-InfiltrateBasic command-line interface❌✅Manual exploitation❌✅Manual credentials brute forcing❌✅Dynamic payloads to evade leading anti-virus solutions✅❌Phishing awareness management and spear phishing✅❌Choice of advance command-line (Pro Console) and web interface✅❌下载地址Metasploit Framework 6.4.x (macOS, Linux, Windows)网盘链接https://sysin.org/blog/metasploit-framework-6/macOSmetasploit-framework-VERSION.x86_64.dmgWindowsmetasploit-framework-VERSION-x64.msiDebian/UbuntuLinux deb x64metasploit-framework_VERSION_amd64.debLinux deb x86metasploit-framework_VERSION_i386.debLinux deb arm64metasploit-framework_VERSION_arm64.debLinux deb armhf (hard float)metasploit-framework_VERSION_armhf.debRHEL/FedoraLinux rpm x64metasploit-framework-VERSION.el6.x86_64.rpm相关产品Metasploit Pro 5.0.0 (Linux, Windows) 发布 - 专业渗透测试框架更多HTTP 协议与安全