Metasploit Framework 6.4.88 (macOS, Linux, Windows) - 开源渗透测试框架

Metasploit Framework 6.4.88 (macOS, Linux, Windows) - 开源渗透测试框架

Rapid7 Penetration testing, updated Sep 12, 2025

请访问原文链接：https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

世界上最广泛使用的渗透测试框架

知识就是力量，尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作，Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin)；它使防守队员能够始终领先比赛一步（或两步）。

新增功能

主要版本的新特性请参看：Metasploit Framework 6.4 Released, Mar 25, 2024

Metasploit Weekly Wrap-Up Sep 12, 2025

🚨 新的 Lighthouse Studio RCE 模块

本周我们添加了一个新模块，该模块利用 Sawtooth Software 的 Lighthouse Studio 中的未授权模板注入漏洞（CVE-2025-34300），允许通过问卷模板执行任意 Perl 代码，影响 9.16.14 之前的版本。该模块能够利用托管在 Linux 或 Windows 服务器上的问卷。感谢最初的漏洞研究者 Adam Kues、Maksim Rogov，以及贡献此模块的社区成员 vognik；像这样的社区提交非常受欢迎，它们能让框架与最新的漏洞保持同步，并帮助提高受影响方的可见性。

🆕 新模块内容（2 个）

📶 深圳 Aitemi M300 Wi-Fi 中继器 未授权 RCE（time 参数）

作者：Valentin Lobstein

类型：利用模块（Exploit）

Pull request：#20455（贡献者：Chocapikk）

路径：linux/http/aitemi_m300_time_rce

AttackerKB 参考：CVE-2025-34152

描述：该模块为深圳 Aitemi M300 MT02 添加了利用模块 (sysin)。该 RCE 漏洞将以 root 用户身份执行命令和载荷。

🧨 Sawtooth Software 的 Lighthouse Studio 中的模板注入漏洞（CVE-2025-34300）

作者：Adam Kues 与 Maksim Rogov

类型：利用模块（Exploit）

Pull request：#20397（贡献者：vognik）

路径：multi/http/lighthouse_studio_unauth_rce_cve_2025_34300

AttackerKB 参考：CVE-2025-34300

描述：该模块利用 Sawtooth Software Lighthouse Studio 的 ciwweb.pl Web 应用中的模板注入漏洞（影响 9.16.14 之前的版本）。该应用在问卷模板中未能正确清理用户输入，允许未认证的攻击者注入并执行任意 Perl 命令 (sysin)，这些命令将以运行 Web 服务器的用户身份在目标系统上执行。

✨ 增强与新特性（1 项）

• #19653（贡献者：Mathiou04）— 修复了凭据生成中的多个 bug，并重构了代码以提高可读性。

🐞 修复的 Bug（2 项）

• #20511（贡献者：mwalas-r7）— 修复了 auxiliary/scanner/ssl/ssl_version 模块中的 SNI 功能，使其可以针对具有多个主机名的主机进行扫描。
• #20516（贡献者：adfoster-r7）— 修复了 NixOs 上的 msfdb init 初始化失败问题。

版本比较

Open Source: Metasploit Framework

下载：Metasploit Framework 6.4.88 (macOS, Linux, Windows) - 开源渗透测试框架

Commercial Support: Metasploit Pro

All Features	Pro	Framework
- Collect
De-facto standard for penetration testing with more than 1,500 exploits	✅	✅
Import of network data scan	✅	✅
Network discovery	✅	❌
Basic exploitation	✅	❌
MetaModules for discrete tasks such as network segmentation testing	✅	❌
Integrations via Remote API	✅	❌
- Automate
Simple web interface	✅	❌
Smart Exploitation	✅	❌
Automated credentials brute forcing	✅	❌
Baseline penetration testing reports	✅	❌
Wizards for standard baseline audits	✅	❌
Task chains for automated custom workflows	✅	❌
Closed-Loop vulnerability validation to prioritize remediation	✅	❌
- Infiltrate
Basic command-line interface	❌	✅
Manual exploitation	❌	✅
Manual credentials brute forcing	❌	✅
Dynamic payloads to evade leading anti-virus solutions	✅	❌
Phishing awareness management and spear phishing	✅	❌
Choice of advance command-line (Pro Console) and web interface	✅	❌

下载地址

Metasploit Framework 6.4.x (macOS, Linux, Windows)

• 请访问：https://sysin.org/blog/metasploit-framework-6/

macOS：metasploit-framework-VERSION.x86_64.dmg

Windows：metasploit-framework-VERSION-x64.exe

Debian/Ubuntu：
Linux deb x64：metasploit-framework_VERSION_amd64.deb
Linux deb x86：metasploit-framework_VERSION_i386.deb
Linux deb arm64：metasploit-framework_VERSION_arm64.deb
Linux deb armhf (hard float)：metasploit-framework_VERSION_armhf.deb

RHEL/Fedora：
Linux rpm x64：metasploit-framework-VERSION.el6.x86_64.rpm

相关产品：Metasploit Pro 4.22.8-2025082101 (Linux, Windows) - 专业渗透测试框架

更多：HTTP 协议与安全