目前Metasploit提供社区免费版和专业收费版（值得注意的是这两者的功能是相同的），安全工作人员常用Metasploit工具来检测系统的安全性。 Metasploit Framework (MSF) 在2003年开放源码方式发布，是可以自由获取的开发框架，其中包含三个模块:msfconsole、msfweb、msfupdate。Msfupdate用于系统更新漏洞库和利用代码。Msfconsole搭载所有的功能模块。Msfweb是metasploit的图形化接口模块。它是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试、 shellcode 编写和漏洞研究提供了一个可靠平台。这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起，使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ，并且不断更新。之前爆发的永恒之蓝勒索病毒所利用的漏洞就可以用metasploit检测出来。如果安全人员用metasploit实现检测一遍就可以有针对性的先把存在漏洞的服务器打上补丁。

了解更多有关Metasploit内容请点击链接：http://www.binqsoft.com/solutions-rapid7/metasploit

前面提到，Metasploit提供了两种用户使用接口：一种是CLI（命令行）模式，另一种是图形化界面模式（需收费）。无论是否是收费版本，Metasploit提供的可用攻击程序模块数目都是一样的，收费版的附加价值主要在：

1. 简单的操作界面能够降低安全从业人员使用门槛。

2. 可以批量化处理测试设备，统一勾选使用脚本，提高测试效率。

3. 可以应用社工模块，可以制作钓鱼邮件和钓鱼U盘进行社会工程学测试。

4. 可以获得原厂的技术服务支持。

由于本系列出于个人学习交流之用，因此后续的进阶篇和提高篇会以社区免费版进行说明，请持续关注。