新聞資訊  快訊  焦點  財經  政策  社會
互 聯 網   電商  金融  數據  計算  技巧
生活百科  科技  職場  健康  法律  汽車
手機百科  知識  軟件  修理  測評  微信
軟件技術  應用  系統  圖像  視頻  經驗
硬件技術  知識  技術  測評  選購  維修
網絡技術  硬件  軟件  設置  安全  技術
程序開發  語言  移動  數據  開源  百科
安全防護  資訊  黑客  木馬  病毒  移動
站長技術  搜索  SEO  推廣  媒體  移動
財經百科  股票  知識  理財  財務  金融
教育考試  育兒  小學  高考  考研  留學
您當前的位置:首頁 > IT百科 > 安全防護 > 網絡安全

大規模自動化滲透工具AutoSploit

時間:2019-11-22 11:59:48  來源:  作者:

滲透測試有時其實并不是那么難,現在有很多工具被設計用來簡化過程,讓滲透測試者們更方便,更省時地達到預期目標。今天要介紹的工具是AutoSploit,顧名思義,這個工具的靈感就來源于“高效滲透”,由于該工具高度自動化(包括尋找漏洞的過程)的特點,不當使用可能會導致嚴重后果,所以建議使用時不要用力過猛。

大規模自動化滲透工具AutoSploit

 

前言

眾所周知,在基本的滲透流程中,測試者需要先找到服務器(或其他目標),然后檢查該目標是否有漏洞可以利用,然后成功利用漏洞。而AutoSploit結合了聯網設備搜索引擎Shodan,同時使用Metasploit來進行滲透。pseudonymous的安全研究員也即AutoSploit的作者Vector稱:“基本上你只需要打開工具,然后輸入一個關鍵字(如Apache)進行查詢,然后工具就會使用Shodan API查找Shodan上描述為“Apache”的設備。之后根據所輸入的關鍵字加載并排序Metasploit模塊,一旦選擇了適當的模塊,就會對目標列表按順序執行模塊。”

可以說這款工具也降低了黑客的門檻,因為黑客此前一般是沒有辦法一次性針對如此多的設備的。正因如此,這款工具在信息安全社區也受到了一些批評。Richard Bejtlich在Twitter上說:“這種工具真的沒必要,結合Shodan讓問題更突出了。現在根本沒有正當理由讓腳本小子也可以大范圍利用公共系統,等著哭著結束吧。”不過Vector倒是很淡定。他回應說:“這種話也可以用在其他一些工具上,我個人認為信息應該是自由的,我本人也是開源的粉絲,所以何樂而不為呢?”

工具介紹

AutoSploit會使用Shodan API自動收集目標,前面已經提到通過關鍵詞搜索,如Apache,IIS等。該步驟完成后,工具的“Exploit”組件就會運行一系列Metasploit模塊來嘗試利用目標,用哪些模塊取決于該模塊與搜索的關鍵詞的匹配程度。不過作者也添加了運行所有可用模塊的功能來進行“病急亂投醫”式滲透。

可用模塊會嘗試遠程代碼執行或得到TCP reverse shell或Meterpreter會話,在“Exploit”組件彈出之前可以配置IP,端口等。從OPSEC角度來看,使用本地主機接收連接并不是好主意,你可以考慮使用VPS。

工具使用

首先克隆repo.

git clone https://github.com/NullArray/AutoSploit.git

然后從終端打開autosploit.py即可,你可以參考后面的介紹來選擇序號。

大規模自動化滲透工具AutoSploit

 

可用模塊

在該工具中可用的模塊都是可以遠程執行代碼的,你可以在modules.txt里查看這些模塊。如果你想要添加更多模塊,請通過以下方式添加:

use exploit/linux/http/netgear_wnr2000_rce;exploit -j;

另起一行將其添加到modules.txt中即可。

依賴

AutoSploit依賴于以下Python2.7模塊。

shodan
blessings

如果你發現沒有安裝這些,可以使用pip:

pip install shodan
pip install blessings

由于AutoSploit調用了Metasploit Framework,所以你同時需要安裝它。點擊這里從Rapid7獲取。

注意事項

雖然這不完全是一個Beta版本,但也算是個早期版本。在未來該工具可能會發生一些變化,如果你碰巧遇到bug或者也希望改善這款工具,那么點擊這里前往提交。另外,請勿將其用于非法用途!

參考來源:github/motherboard。



Tags:AutoSploit   點擊:()  評論:()
聲明:本站部分內容來自互聯網,內容觀點僅代表作者本人,如有任何版權侵犯請與我們聯系,我們將立即刪除。
▌相關評論
發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
▌相關推薦
滲透測試有時其實并不是那么難,現在有很多工具被設計用來簡化過程,讓滲透測試者們更方便,更省時地達到預期目標。今天要介紹的工具是AutoSploit,顧名思義,這個工具的靈感就來源于...【詳細內容】
2019-11-22   AutoSploit  點擊:(3)  評論:(0)  加入收藏
相關文章
    無相關信息
最新更新
欄目熱門
欄目頭條
31选7开奖11185