写点什么

Metasploit Pro 4.22.8-2025071801 (Linux, Windows) - 专业渗透测试框架

作者:sysin
  • 2025-08-03
    北京
  • 本文字数:1504 字

    阅读完需:约 5 分钟

Metasploit Pro 4.22.8-2025071801 (Linux, Windows) - 专业渗透测试框架

Metasploit Pro 4.22.8-2025071801 (Linux, Windows) - 专业渗透测试框架


Rapid7 Penetration testing, released Jul 18, 2025


请访问原文链接:https://sysin.org/blog/metasploit-pro-4/ 查看最新版。原创作品,转载请保留出处。


作者主页:sysin.org




世界上最广泛使用的渗透测试框架

知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。


新增功能

Metasploit Pro 最新发布


2025 年 7 月 18 日,版本 4.22.8-2025071801


这次发布新增了 6 个模块,并修复了 Quick PenTest 向导的问题,改进了漏洞尝试跟踪,进行了安全更新及模块缺陷修复。


新增模块内容(7)


  • #20216 - 添加了 GraphQL 架构探测模块。该模块可用于查询 GraphQL 接口是否启用了 introspection(架构查询)功能。启用后可枚举整个 schema,包括对象、描述、类型、是否已弃用等信息,可能导致信息泄露,因此被视为漏洞。

  • #20334 - 添加了一个新的 Payload 模块,用于调用 set_hostname 系统调用,可将主机名更改为 pwned 或用户自定义的名称。

  • #20349 - 添加了一个利用 CVE-2024-51978 的 auxiliary 模块。该漏洞影响 691 款 Brother 设备,允许远程攻击者通过未认证请求(HTTP、HTTPS、IPP、SNMP 或 PJL)泄露设备序列号并生成管理员密码。

  • #20354 - 添加了一个针对 ISPConfig 的新模块。版本低于 3.2.11p1 存在代码注入漏洞。需管理员权限,且启用 admin_allow_langedit。若未启用,该模块会自动启用该选项。

  • #20356 - 添加了针对 CVE-2025-5306(PandoraFMS 代码注入漏洞)的模块。利用前需启用 Netflow 功能且目标系统具备相关二进制文件 (抄 si 袭 quan 者 jia),并需提供有效管理员凭据。

  • #20357 - 添加了 windows/aarch64/exec Payload,允许在 Windows aarch64 系统上执行命令。

  • #20364 - 添加了对 WingFTP 的未授权远程代码执行模块(CVE-2025-47812),适用于 Windows 和 Linux 系统,可在启用 anonymous 用户时利用。


⚙️ 增强与新功能(6)


  • Pro:更新漏洞概览页,可正确显示 exploit 和 auxiliary 模块的利用尝试。

  • Pro:漏洞页面新增 3 个提示说明各标签页功能。

  • Pro:项目主列表页新增漏洞和可用模块的计数。

  • #19709 - 更新了 irb 库版本,提升调试支持。

  • #20209 - 将默认 Ruby 版本更新为 3.3.8。

  • #20345 - 添加了用于远程操作 Active Directory 域控的 LDAP 库,支持基于 DN、sAMAccountName、SID 的对象查询,以及权限检查。已有两个模块已支持该库的 check 方法。


🐞 修复的问题(7)


  • Pro:修复 Quick PenTest 向导功能崩溃问题。

  • Pro:修复运行 Ruby 脚本时的警告提示。

  • #20359 - 修复了 Payload 重新加载命令。之前由于未正确区分模块对象与 Payload 对象,导致 reload 命令失败。现已手动处理 Payload 重载。

  • #20362 - 修复运行 modules/auxiliary/scanner/ssl/bleichenbacher_oracle 模块时,在旧版 Python 环境下崩溃的问题。

  • #20365 - 修复 unix/http/maltrail_rce 模块中与元数据和 HTTP 请求相关的问题。

  • #20388 - 修复 ad_cs_cert_template 模块中的 UPDATE 操作回归问题。

  • #20391 - 修复运行 auxiliary/scanner/ntp/timeroast 模块时的崩溃问题。

下载地址

仅显示最新版,历史版本已存档,不定期清理。


Metasploit Pro 4.22.8-2025071801 for Linux x64, Jul 18, 2025



Metasploit Pro 4.22.8-2025071801 for Windows x64, Jul 18, 2025



相关产品:Nexpose 8.15.1 for Linux & Windows - 漏洞扫描


更多:HTTP 协议与安全

发布于: 刚刚阅读数: 2
用户头像

sysin

关注

还未添加个人签名 2018-08-30 加入

还未添加个人简介

评论

发布
暂无评论
Metasploit Pro 4.22.8-2025071801 (Linux, Windows) - 专业渗透测试框架_Metasploit_sysin_InfoQ写作社区