Uno de los aspectos más poderosos de Metasploit Framework es cuan fácil es hacer cambios y crear nuevas funcionalidades reutilizazndo código existente. Por ejemplo, como un simple código Fuzzer demuestra, se pueden hacer mínimas modificaciones a un módulo existente para crear un módulo Fuzzer. Estos cambios pasarán longitudes cada vez mayores al valor transportado del modo hacia el servicio 3Com TFTP para Windows, resultando en la acción de sobrescribir EIP.

El escribir un módulo escaner propio puede también ser extremadamente útil durante las auditorías de seguridad, permitiendo localizar cada instancia de una mala contraseña o para escanear servicios vulnerables los cuales necesiten ser parchados. Utilizando Metasploit Framework es factible almacenar también esta información en una base de datos.

Social-Engineer Toolkit (SET) o por su traducción al español Conjunto de herramientas para el Ingeniero Social, es un framework open source de pruebas de penetración diseñado para realizar Ingeniería Social. SET tienen diversos vectores de ataque personalizados, los cuales permiten hacer un ataque creíble rápidamente.

En la siguiente demostración se utiliza SET para tratar de capturar las credenciales válidas de un usuario quien se conecta a una red social como facebook.

Linux Exploit Suggester se basa e el número de versión del sistema operativo. Este programa ejecutado sin argumentos ejecutará el comando “uname -r” para obtener el número de versión de los sistemas operativos Linux, y devolverá una lista sugerida de posibles exploits. Se debe considerar la instalación de un parche podría engañar a este script.

Adicionalmente es posible proporcionar la opción “-k” para ingresar manualmente el número de versión del Sistema Operativo o versión del Kernel.

El objetivo de Backdoor Factory (BDF) es parchar binarios ejecutables con el shellcode requerido por el usuario, para continuar con la ejecución normal del estado previo al parchado.

BDF soporta; Windows PE x86/x64,ELF x86/x64 (System V, FreeBSD, ARM Little Endian x32),
y Mach-O x86/x64, y estos formatos en archivos FAT. Archivos Empacados: PE UPX x86/x64 . Y Experimentalmente: OpenBSD x32.

Armitage es una herramienta de colaboración de “Red Team” para Metasploit, el cual visualiza objetivos, recomienda exploits, y expone funcionalidades avanzadas de post-explotación en el framework.

A través de una instancia de Metasploit, el equipo puede; utilizar la misma sesión, compartir hosts, datos capturados, y descargar archivos, comunicarse a través de un registro compartidos de eventos, ejecutar bots para automatizar tareas de “red team”.

Unix-privesc-check es un script el cual se ejecuta sobre sistemas Unix (evaluado sobre Solaris, HPUX 11, diversos Linux, FreeBSD 6.2). Intenta encontrar inadecuadas configuraciones las cuales podrían permitir a un usuario no privilegiado escalar privilegios hacia otros usuarios o acceder hacia aplicaciones locales; como por ejemplo bases de datos. Es un script para verificar sencillos vectores para es el escalamiento de privilegios en sistemas Unix.

Lynis es una herramienta open source para auditoria de seguridad. Es utilizada por administradores de red, profesionales en seguridad y auditores, para evaluar las defensas de seguridad en sus sistemas basados en Linux o Unix. Lynis se ejecuta a si mismo sobre el host, de tal manera realiza un escaneo de seguridad más completo comparado a los escaners de vulnerabilidades.

Inguma es un conjunto de herramientas para realizar pruebas de penetración escrito en python. Este framework incluye módulos para descubrir hosts, obtener información desde ellos, hacer fuzzing contra los objetivos, realizar fuerza bruta contra usuarios y contraseñas, y también utilizar “exploits”.

Mientras las capacidades de explotación actual de Inguma son limitadas, este programa proporciona numerosas herramientas para la captura de información y auditoría del objetivo.

Doona es una bifurcación de la herramienta BED (Bruteforce Exploit Detector), el cual es un programa diseñado para verificar demonios por potenciales fallas de Desbordamiento de Buffer (Buffer Overflow) o Formato de Cadena (Format String).

Se ha añadido un significativo número de cambios y modificaciones a BED, razón por la cual se ha cambiado el nombre,para evitar confusión.