Metasploit Pro 4.22.8-2025073001 (Linux, Windows) - 专业渗透测试框架
Rapid7 Penetration testing, released July 30, 2025
请访问原文链接:https://sysin.org/blog/metasploit-pro-4/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
Metasploit Pro 最新发布
2025 年 7 月 30 日,版本 4.22.8-2025073001
本次版本新增 5 个模块,增强 1 个模块,并修复 1 个漏洞。包括针对 Xorcom CompletePBX 漏洞的新模块、一个 WordPress SQL 注入信息收集模块,以及用于 Windows 注册表和 JScript 文件的文件格式模块。
✨ 新增模块(5)
- #20338 此 Pull Request 为 Xorcom CompletePBX 5.2.35 之前版本中的三个已验证漏洞添加了支持。它引入了两个辅助模块:一个用于任意文件泄露(CVE-2025-2292),另一个用于诊断归档提取(CVE-2025-30005),以及一个利用模块,可通过调度器接口以 root 身份执行远程代码(CVE-2025-30004)。
- #20375 新增一个针对 CVE-2022-0169 的信息收集模块,该漏洞是 Photo Gallery by 10Web 插件(≤ 1.6.0)中的未验证 SQL 注入漏洞。成功执行后,该模块可为 Metasploit 用户提供 WordPress 用户名和密码哈希值。
- #20384 新增一个 Windows 注册表项文件格式模块。该模块会生成一个恶意
.reg文件,当用户点击该文件时,会将 payload 添加到 Windows 注册表中 (抄si袭quan者jia),并在当前用户登录时运行该 payload。 - #20398 新增一个文件格式模块,该模块会生成包含恶意 payload 的 Windows Script Host JScript 文件。
- #20406 新增一个文件格式模块,该模块会生成 Windows Script Host VBScript 文件。
⚙️ 增强模块(1)
以下模块已增强或重命名:
- #20401 更新了现有的
auxiliary/gather/ldap_passwords模块,使其能够在 Active Directory 域控制器中搜索并提取 gMSA 凭据。提取的凭据可用于以服务帐户身份进行身份验证。
🐞 修复漏洞(1)
- #20408 修复了
auxiliary/scanner/redis/redis_server模块中向redis_command函数传递参数的问题。该函数要求每个单词作为单独参数传入(例如:redis_command("LIST", "MODULES"))。此前,该模块将命令作为单个字符串传递,导致 Redis 服务器返回意外响应。此更新通过正确拆分命令修复了该问题。
下载地址
仅显示最新版,历史版本已存档,不定期清理。
Metasploit Pro 4.22.8-2025073001 for Linux x64, July 30, 2025
请访问:https://sysin.org/blog/metasploit-pro-4/
Metasploit Pro 4.22.8-2025073001 for Windows x64, July 30, 2025
请访问:https://sysin.org/blog/metasploit-pro-4/
相关产品:Nexpose 8.16.0 for Linux & Windows - 漏洞扫描
更多:HTTP 协议与安全
