目前在看《MetaSploit 渗透指南》一书,msf 这个框架主要是用 ruby 来开发的(刚开始好像是 perl,后来使用 ruby 重写了)。而自己之前没有接触过 ruby,工作中使用 PHP 和 Python 居多。 如果想要在 msf 框架中开发自己的模块,好像只能用 ruby 吧(不知道 Python 可不可以,书中的扩展模块的例子 ruby 写的)。 不知道有没有必要学习下 ruby 呢?
如果平时使用 python 居多,学习 ruby 仅仅是为了写 msf 插件的话,完全没必要深入学习 ruby。 msf 插件有现成的模版,auxiliary exploit 等的 module, 只需要学学 ruby 的基础语法,套用模版就 ok 了, 模版参考 https://github.com/rapid7/metasploit-framework/wiki Metasploit Resources 部分。
还有就是 如果 平时使用,php python 居多的话,想必是搞 web 安全的吧,如果搞 web 安全的话,学习 msf 价值并不是太大,相对于国产的 web poc 框架,msf 太过于庞大臃肿,而且批量利用过于麻烦 (因为 web 漏洞只是 msf 一小部分,在 wiki 中我见到过一句话是,不能 getshell 的 web 漏洞不是好漏洞,虽然我不赞成这句话,但是这是 msf 现状),建议根据实际情况选择自己使用的框架。