Metasploit Pro 4.22.9-2026020501 (Linux, Windows) - 专业渗透测试框架
Rapid7 Penetration testing, released Feb 2026
请访问原文链接:sysin.org/blog/metasp… 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
版本比较
Open Source: Metasploit Framework
下载:Metasploit Framework 6.4.108 (macOS, Linux, Windows) - 开源渗透测试框架
Commercial Support: Metasploit Pro
| All Features | Pro | Framework |
|---|---|---|
| - Collect | ||
| De-facto standard for penetration testing with more than 1,500 exploits | ✅ | ✅ |
| Import of network data scan | ✅ | ✅ |
| Network discovery | ✅ | ❌ |
| Basic exploitation | ✅ | ❌ |
| MetaModules for discrete tasks such as network segmentation testing | ✅ | ❌ |
| Integrations via Remote API | ✅ | ❌ |
| - Automate | ||
| Simple web interface | ✅ | ❌ |
| Smart Exploitation | ✅ | ❌ |
| Automated credentials brute forcing | ✅ | ❌ |
| Baseline penetration testing reports | ✅ | ❌ |
| Wizards for standard baseline audits | ✅ | ❌ |
| Task chains for automated custom workflows | ✅ | ❌ |
| Closed-Loop vulnerability validation to prioritize remediation | ✅ | ❌ |
| - Infiltrate | ||
| Basic command-line interface | ❌ | ✅ |
| Manual exploitation | ❌ | ✅ |
| Manual credentials brute forcing | ❌ | ✅ |
| Dynamic payloads to evade leading anti-virus solutions | ✅ | ❌ |
| Phishing awareness management and spear phishing | ✅ | ❌ |
| Choice of advance command-line (Pro Console) and web interface | ✅ | ❌ |
新增功能
Metasploit Pro 最新发布
Metasploit Pro 版本 4.22.9-2026020501 发行说明
软件发布日期: 2026 年 2 月 5 日 | 发行说明发布日期: 2026 年 2 月 9 日
新增模块内容(9)
- #19821 - 新增一个针对 Burp Suite 的持久化模块。该模块会在 Pro 和 Community 版本中安装恶意扩展,并在 Burp Suite 启动时触发。
- #20750 - 新增针对 CVE-2025-61882 的利用模块,这是 Oracle E-Business Suite(EBS)中的一个严重远程代码执行(RCE)漏洞。该漏洞允许未经身份验证的攻击者通过链式利用 SSRF、HTTP 请求走私和 XSLT 注入来执行任意代码 (sysin)。受影响版本:Oracle E-Business Suite 12.2.3–12.2.14。
- #20768 - 为 Gladinet CentreStack/Triofox 新增两个辅助模块。这两个模块可以读取任意文件并提取用于保护 ASP.NET ViewState 数据的
machineKey。此更新还引入了一个新的 Gladinet mixin。 - #20770 - 新增两个针对 Splunk Enterprise 远程代码执行(RCE)漏洞的 Metasploit 利用模块。CVE-2024-36985 利用
splunk_archiver应用中对copybuckets查找函数的不安全使用,从而以攻击者可控参数执行sudobash辅助脚本。受影响版本:9.0.10 之前的所有版本、9.1.2–9.1.5 和 9.2.0–9.2.2。CVE-2022-43571 利用 Splunk SimpleXML 仪表板中的 Python 代码注入漏洞,通过在 sparkline 样式参数中注入恶意代码。当用户将仪表板导出为 PDF 时,该代码会被执行。受影响版本:8.1.12 之前的所有版本、8.2.0–8.2.9 和 9.0.0–9.0.2。 - #20799 - 新增针对 CVE-2025-24367 的利用模块,这是 Cacti 中的一个未授权远程代码执行漏洞。
- #20846 - 新增一个针对 FreePBX 的利用模块,通过链式利用身份验证绕过漏洞(CVE-2025-66039)和 SQL 注入漏洞(CVE-2025-61675),在数据库中创建管理员用户。
- #20857 - 新增一个针对 FreePBX 的利用模块 (sysin),通过链式利用身份验证绕过漏洞(CVE-2025-66039)和 SQL 注入漏洞(CVE-2025-61678),向
cron_job数据库表中添加计划任务,以实现远程代码执行。 - #20858 - 新增一个针对 FreePBX 的利用模块,通过链式利用身份验证绕过漏洞(CVE-2025-66039)和通过固件上传实现的无限制文件上传漏洞(CVE-2025-61678),将 Web Shell 上传至 Web 服务器,从而实现远程代码执行。
- #20866 - 新增一个针对 SmarterTools SmarterMail 的未授权文件上传模块(CVE-2025-52691)。该漏洞允许未授权用户通过在
guid参数中使用路径遍历,将文件上传到任意位置。该模块可在 Windows 目标上将 Web Shell 写入 Web 根目录,或在 Linux 目标上通过向/etc/cron.d写入文件来创建计划任务。
增强与功能(5)
- #20739 - 为与 Kerberos 和无约束委派相关的模块添加 MITRE ATT&CK 元数据标签,使用户可以通过 ATT&CK 技术 ID 进行内容搜索。
- #20778 - 合并 Windows 和 Linux 的 SSH 密钥持久化模块。
- #20840 - 更新 MongoBleed 辅助模块,新增多项选项。该模块现在可以使用 Wiz Magic Packet 快速检测漏洞,识别 MongoDB 使用的压缩库(如果未启用 zlib 可发出警告或终止操作),在内存扫描期间复用 MongoDB 套接字连接以提升性能 (sysin),并通过模式匹配更有效地泄露敏感信息或以原始或 JSON 格式存储提取的数据。
- #20882 - 新增
RSAKeySize高级选项,并在生成 CSR 密钥对时使用该选项,使用户可以增加密钥长度以满足证书模板的最小要求,并避免在拒绝 2048 位密钥时出现CERTSRV_E_KEY_LENGTH错误。 - #20883 - 更新 Kerberos 模块,当仅指定
IMPERSONATE选项而未设置IMPERSONATION_TYPE时,显示更友好的提示信息。
修复的问题(9)
- #20368 - 修复了从其他目录运行
msfvenom时失败的问题。 - #20680 - 对 RPC API 进行了多项修复和增强。
- #20834 - 修复了
team_viewer后渗透模块中的NoMethodError异常。 - #20888 - 修复了导致 dMSA Kerberos 身份验证失败的问题。
- #20897 - 修复了导致收集的哈希数据无法正确格式化以供 John the Ripper 使用的错误,恢复了使用 John 进行密码破解的能力。
- #20902 - 修复了
auxiliary/scanner/ssh/ssh_login模块中的一个错误,该错误在身份验证成功但无法打开会话时错误地报告登录失败。该问题仅在CreateSession选项设置为 true 时发生。 - #20909 - 修复了 Metasploit Pro 在进行 HTTP 暴力破解攻击时产生误报的问题。
- #20916 - 修复了运行 SAP 模块
sap_soap_rfc_system_info或sap_icf_public_info时发生崩溃的问题。 - #20920 - 修复了密码破解模块中的一个错误:即使在
CRACKER_PATH中指定了兼容的可执行文件路径,auto操作仍会导致程序崩溃。
下载地址
Metasploit Pro 4.22 for Linux x64
Metasploit Pro 4.22 for Windows x64
相关产品:Nexpose 8.36.0 for Linux & Windows - 漏洞扫描
更多:HTTP 协议与安全
