Metasploit Framework 6.4.123 (macOS, Linux, Windows) - 开源渗透测试框架

适用于 macOS、Linux、Windows 的 Metasploit Framework 6.4.123，是一个开源渗透测试框架。

Rapid7进行渗透测试，于2026年3月更新，这一测试，进行了更新，时间是2026年3月。

请访问原文链接：https://sysin.org/blog/metasploit-framework-6/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

世界上最广泛使用的渗透测试框架

知识具备力量，特别是在其被予以分享之际。出于开源社区跟Rapid7之间所存在的合作那般结果的缘故，Metasploit借助其自身的作用，对安全团队切实起到的帮助，并非仅仅局限于去对漏洞展开验证、针对安全评估实施管理以及对安全意识予以提高（sysin）；更为关键的要点在于，它赋予防御者相应能力，致使其能够在始终进行着的攻防博弈里，始终保持领先一步（甚至是两步）的态势。

图为 Metasploit Pro Dashboard。

迎接你来到 Metasploit 的地界儿，你是不是那样一类 Metasploit 使用者呀想问是不是想要着手运用它，要不就是想提升自身的漏洞利用还有渗透方面的能力呢（当然得是针对对你有授权设定的目标去开展测试才行）？最迅速的介入途径是去下载 Metasploit 每晚构建的安装包（也就是 nightly installers）。凭借它，你能够兼具获取免费的开源 Metasploit Framework，跟 Metasploit Pro 的免费试用版本。

倘若你所运用的是Kali Linux，那么Metasploit已然是默认预先安装好了的。至于怎样在Kali Linux里着手去使用Metasploit，需去参阅Kali的相关那文档。

新增功能

Metasploit 更新周报 - 2026.03.07

Encoder 暴露！

Rapid7 的某些发布版本会增添新的进入途径，而此次增添了新的驻留方式，当然，工具箱里依旧存在新的 RCE 玩具，像通过 Jinja2 SSTI 的 Tactical RMM 以及一个未认证的 MajorDoMo 漏洞利用，不过，本次更新的核心主题在于 payload，即对它们的打包与交付方式有更多把控，且减少那些“为何它一运行就马上死掉”的情形。跟模块作者社区相同，Rapid7 已经厌烦了好多事都得手动去做。如今你能够直接给exploit以及payload模块挑选encoder（编码器）（况且调整其选项），用不着额外去编写胶水代码 (sysin)。底层的拼装工作变少了，在运行时能更多地去挑选适宜的badchar来规避编码器。

新模块内容 (3)

Linux RC4 打包器（内存执行）（x86）

作者: Massimo Bertocchi

类型: Evasion（规避）

请拉取请求，该请求为编号#20965，由litemars做出贡献。

路径: linux/x86/rc4_packer

描述：有一个新增模块，名为 evasion/linux/x86/rc4_packer，此模块会运用 RC4 来加密所生成的 payload，还会在其前面增添一个可选择的基于 sleep 的延迟，也就是 nanosleep，在运行的时候，会借助一个紧凑的预编译 stub 来解密进而执行 payload。

与战术性远程监控与管理相关、基于金贾二的、用于服务器端模板注入的远程代码执行操作 ，有这样一种存在的情况。

著者为，加布里埃尔·戈麦斯，以及瓦伦丁·洛布斯坦，该作品的邮箱联系为，chocapikk(at)leakix.net。

类型: Exploit（漏洞利用）

用于拉取的请求，编号为#21017，是由Chocapikk所贡献的。

路径是，位于linux这个系统里，属于http范畴之下，涉及tacticalrmm_ssti_rce这个特定情况，对应编号为cve_2025_69516。

AttackerKB 参考: CVE-2025-69516

描述：新增一个 exploit 模块，它是针对 CVE - 2025 - 69516 的。该漏洞存在于 Tactical RMM<1.4.0 中，这是一个 Jinja2 SSTI 漏洞。在这个漏洞里，报告模板预览端点在没有沙箱隔离的状况下，评估用户可控模板，进而允许已认证的远程代码执行 (sysin)。该模块借助 Knox API 登录，从 /env - config.js 自动检测 API 主机，并且利用模板预览功能。

针对MajorDoMo来说，其能借助cycle_execs竞争条件达成远程命令注入。

作者是，瓦伦丁·洛布斯坦，chocapikk(at)leakix.net。

类型: Exploit（漏洞利用）

请求拉取，编号为#21000，由Chocapikk贡献。

路径是，多个的，超文本传输协议的，表示主要负责人的命令注入的，远程命令执行的。

AttackerKB 参考: CVE-2026-27175

描述：针对 MajorDoMo，这是一个开源家庭自动化平台，去新增三个 exploit 模块，这三个漏洞，它们均属于未认证漏洞。

增强和功能 (2)

已修复的漏洞 (5)

于2024年3月25日发布了Metasploit Framework 6.4，版本比较，开源：Metasploit Framework。

进行下载，Metasploit Framework 6.4.123，适用于macOS、Linux以及Windows，它是开源渗透测试框架。

Commercial assistance: Metasploit Pro ，它提供商业支持 ，针对Metasploit Pro。

将其下载下来：Metasploit Pro 4.22.9 - 2026030301（适用Linux以及Windows系统），它是专业的渗透测试框架。

All FeaturesProFramework

- Collect

Import of network data scan

Network discovery

Basic exploitation

Integrations via Remote API

- Automate

Simple web interface

Smart Exploitation

Credentials, automated brute forcing以这种方式进行，通过自动化手段，对凭证展开强力破解。

- Infiltrate

Basic command-line interface

Manual exploitation

相关标签： # MetasploitFramework # 开源渗透测试 # 漏洞利用 # 安全评估 # Rapid7