Metasploit Pro 4.22.7-2025050101 (Linux, Windows) - 专业渗透测试框架
Rapid7 Penetration testing, released May 01, 2025
请访问原文链接:https://sysin.org/blog/metasploit-pro-4/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
2025 年 5 月 1 日 - 版本 4.22.7-2025050101
增强与新特性:
- Pro:更新了 “Manage Credentials” 页面,添加了 PKCS#12 元数据,并支持用户下载关联的
.pfx文件。 - Pro:在发现扫描任务日志中增加了检测主机和端口详情时的附加原因信息。
- Pro:新增显示任务运行所用设置的能力,同时在 User Interface 中添加了用于重新运行之前任务或 MetaModules 的链接。
#19760:新增了一个名为certs的命令 (sysin),用于管理并显示存储在凭证数据库中的 PKCS#12 证书,支持搜索、导出、激活和删除证书。此外,在没有缓存 Kerberos 凭据票据时,通过 PKINIT 自动启用基于 PKCS#12 的 Kerberos(和 Schannel)身份验证,简化了使用现有证书获取 TGT 的流程 (抄si袭quan者jia),提高了基于证书的身份验证流程的可用性与灵活性。#20028:修改了现有的 pgAdmin 模块,替换了部分功能,改为使用新的 pgAdmin 库。#20077:更新了 haraka 模块以支持 Python 3.12 及以上版本。#20097:更新了msfconsole的run命令行为,使其可以像设置其他 datastore 选项一样设置action名称,例如run ACTION=SHOW。
新增模块内容:
#20017:更新并重命名了ldap_hashdump模块为ldap_passwords,扩展其功能以提取 Active Directory 环境中 LAPSv1 和 LAPSv2 使用的机密信息,同时兼容现有的 LDAP 实现。此模块通过统一技术简化使用,无需用户识别服务器类型。相关测试也更新为使用 Samba 模拟的 AD 数据。#20046:新增了 BentoML Runner Server 中不安全反序列化漏洞(导致未认证远程代码执行,适用于 1.0.0a1 至 1.4.8 版本之前)的利用模块 (sysin)。此漏洞编号为 CVE-2025-32375。#20052:将模块exploits/dialup/multi/login/manyargs移动并重分类为exploits/solaris/dialup/manyargs,按照平台(solaris)而非传输方式(dialup)进行归类。#20081:新增exploit/multi/http/wondercms_rce模块,用于利用 CVE-2023-41425 文件上传漏洞。该模块会使用指定密码进行认证,然后上传一个包含恶意 PHP 文件的 ZIP 文件,目标系统会将其自动解析到/themes目录。#20085:新增 Craft CMS 漏洞利用模块,攻击通过图像转换端点注入 PHP 有效负载到 Craft 会话中。(CVE-2025-32432)
增强模块:
对以下模块进行了增强或重命名:
#20044:为service_permissions模块添加了支持 CVE-2025-21293 的目标,允许低权限用户在HKLM\System\CurrentControlSet\Services\Dnscache\中添加 DLL 项并诱导以系统权限执行。
修复的问题:
- Pro:修复了导致报告无法在浏览器中渲染的问题。
#19938:更新了 Meterpreterextapi扩展对目标主机剪贴板数据的处理方式。更多详情见 2025 年 5 月 2 日的 Metasploit Wrap Up。#20051:修复了模块exploits/dialup/multi/login/manyargs的元数据过时问题,并修复了处理非法字符时的逻辑漏洞。#20063:更新了 Ruby pingback 载荷,确保在使用后正确关闭已打开的 socket。#20064:修复了cmd/unix/reverse_php_ssl载荷中的 IPv6 支持问题。
下载地址
Metasploit Pro 4.22.7-2025050101 for Linux x64, May 01, 2025
Metasploit Pro 4.22.7-2025050101 for Windows x64, May 01, 2025
相关产品:Nexpose 8.5.0 for Linux & Windows - 领先的漏洞管理解决方案
更多:HTTP 协议与安全
