|
|
51CTO旗下网站
|
|
移动端

一键黑客工具:一个Python脚本搞定所有攻击操作

近期出现了可综合利用Shodan设备搜索引擎和Metasploit渗透测试工具的Python代码。该代码会用Shodan.io自动搜索有漏洞的在线设备,随后使用Metasploit的漏洞利用数据库劫持计算机和其他在线设备。

作者:虎瘦oo雄心在来源:今日头条|2018-10-31 08:29

近期出现了可综合利用Shodan设备搜索引擎和Metasploit渗透测试工具的Python代码。该代码会用Shodan.io自动搜索有漏洞的在线设备,随后使用Metasploit的漏洞利用数据库劫持计算机和其他在线设备。

只需点击运行,该脚本就会爬取互联网,寻找可以攻击的脆弱主机(通常是因为没打补丁),并自动取得对这些主机的控制权。完全无需什么高端的黑客技术。

这段 Python 2.7 脚本名为AutoSploit,是昵称为"Vector"的用户于本周上传到GitHub上的,会在通过Shodan搜索引擎收集到目标后(需 API 密钥)尝试调用Metasploit模块攻击目标。

一键黑客工具:一个Python脚本搞定所有攻击操作

Metasploit是模块化开源渗透测试工具,内含软件和其他产品的安全漏洞利用代码块,可以抽取各类系统的信息,或者在设备上开启远程控制。Shodan可以搜索面向公网的计算机、服务器、工业设备、网络摄像头和其他设备,搜出这些设备的开放端口和可利用的服务。

一键黑客工具:一个Python脚本搞定所有攻击操作

GitHub代码库上写道:"精选了Metasploit模块辅助远程代码执行,尝试建立反向 TCP Shell 和Meterpreter会话。"

因为此类自动化攻击可能带来法律问题,该代码库还附了一份警告,称在易被追踪溯源的机器上执行该代码不是明智的做法。

一些安全同行认为将此自动化攻击代码公布本身就不是什么好主意,与Shodan的联系就已经在法律的边缘试探了。将可大规模漏洞利用公共系统的代码放到脚本小子触手可及的范围是不合理的。"可以做"和"该不该做"是两码事。这事儿有可能得悲剧收场。

但同时,将漏洞扫描和漏洞利用明确联系起来的做法可能蕴含有一定价值。该操作昭示出自动化可以击败安全防御。

该工具的作者Vector称该代码被安全社区广为接受。

当然,批评是少不了的,但任何工具只要实现了某种程度的攻击自动化,都会遭到批判。

任何事物都有正反两面,全看你怎么用。我可不是信息看门人,信息应该是共享的,我不过是开源拥护者而已。

【编辑推荐】

  1. 5种最常用的黑客工具,以及如何防御
  2. 2019年阻止精明的黑客,您需要了解的网络安全工具
  3. 你用的智能设备遭黑客公开破解,你会换掉它吗?
  4. 不满黑客新闻报道,亚马逊、苹果用自己的方式“惩罚”彭博 ..
  5. 重装上阵:2019年你必须了解的六大新兴信息安全工具
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Windows编程启示录

主要内容: ● 如何设计像自动售货机那样有效的用户界面。 ● 深入理解窗口和对话框的管理机制。 ● 为什么性能优化与我们在直觉上的理...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊