一鍵黑客工具：一個腳本搞定所有攻擊操作

近期出現了可綜合利用Shodan設備搜索引擎和Metasploit滲透測試工具的Python代碼。該代碼會用Shodan.io自動搜索有漏洞的在線設備，隨後使用Metasploit的漏洞利用資料庫劫持計算機和其他在線設備。

只需點擊運行，該腳本就會爬取互聯網，尋找可以攻擊的脆弱主機（通常是因為沒打補丁），並自動取得對這些主機的控制權。完全無需什麼高端的黑客技術。

這段 Python 2.7 腳本名為AutoSploit，是昵稱為「Vector」的用戶於本周上傳到GitHub上的，會在通過Shodan搜索引擎收集到目標後（需 API 密鑰）嘗試調用Metasploit模塊攻擊目標。

Metasploit是模塊化開源滲透測試工具，內含軟體和其他產品的安全漏洞利用代碼塊，可以抽取各類系統的信息，或者在設備上開啟遠程控制。Shodan可以搜索麵向公網的計算機、伺服器、工業設備、網路攝像頭和其他設備，搜出這些設備的開放埠和可利用的服務。

GitHub代碼庫上寫道：「精選了Metasploit模塊輔助遠程代碼執行，嘗試建立反向 TCP Shell 和Meterpreter會話。」

因為此類自動化攻擊可能帶來法律問題，該代碼庫還附了一份警告，稱在易被追蹤溯源的機器上執行該代碼不是明智的做法。

一些安全同行認為將此自動化攻擊代碼公布本身就不是什麼好主意，與Shodan的聯繫就已經在法律的邊緣試探了。將可大規模漏洞利用公共系統的代碼放到腳本小子觸手可及的範圍是不合理的。「可以做」和「該不該做」是兩碼事。這事兒有可能得悲劇收場。

但同時，將漏洞掃描和漏洞利用明確聯繫起來的做法可能蘊含有一定價值。該操作昭示出自動化可以擊敗安全防禦。

該工具的作者Vector稱該代碼被安全社區廣為接受。

當然，批評是少不了的，但任何工具只要實現了某種程度的攻擊自動化，都會遭到批判。

「

任何事物都有正反兩面，全看你怎麼用。我可不是信息看門人，信息應該是共享的，我不過是開源擁護者而已。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！