欢迎访问媒介素养——新媒体创客基地!
 
网站首页 行业 媒体资源 签约入驻 企业宣传        
您的位置:网站首页 >> 行业资讯 >> 网络安全 >> 阅读
一键黑客工具:一个脚本搞定所有攻击操作
日期:2018-02-08  来源:媒介素养网  作者:谈云    热度:991

  近期出现了可综合利用Shodan设备搜索引擎和Metasploit渗透测试工具的Python代码。该代码会用Shodan.io自动搜索有漏洞的在线设备,随后使用Metasploit的漏洞利用数据库劫持计算机和其他在线设备。

 

1517798754915051.jpg

 

  只需点击运行,该脚本就会爬取互联网,寻找可以攻击的脆弱主机(通常是因为没打补丁),并自动取得对这些主机的控制权。完全无需什么高端的黑客技术。

  这段 Python 2.7 脚本名为AutoSploit,是昵称为“Vector”的用户于本周上传到GitHub上的,会在通过Shodan搜索引擎收集到目标后(需 API 密钥)尝试调用Metasploit模块攻击目标。

 

1517798772822445.jpg

 

  Metasploit是模块化开源渗透测试工具,内含软件和其他产品的安全漏洞利用代码块,可以抽取各类系统的信息,或者在设备上开启远程控制。Shodan可以搜索面向公网的计算机、服务器、工业设备、网络摄像头和其他设备,搜出这些设备的开放端口和可利用的服务。

  GitHub代码库上写道:“精选了Metasploit模块辅助远程代码执行,尝试建立反向 TCP Shell 和Meterpreter会话。”

  因为此类自动化攻击可能带来法律问题,该代码库还附了一份警告,称在易被追踪溯源的机器上执行该代码不是明智的做法。

  一些安全同行认为将此自动化攻击代码公布本身就不是什么好主意,与Shodan的联系就已经在法律的边缘试探了。将可大规模漏洞利用公共系统的代码放到脚本小子触手可及的范围是不合理的。“可以做”和“该不该做”是两码事。这事儿有可能得悲剧收场。

  但同时,将漏洞扫描和漏洞利用明确联系起来的做法可能蕴含有一定价值。该操作昭示出自动化可以击败安全防御。

  该工具的作者Vector称该代码被安全社区广为接受。

  当然,批评是少不了的,但任何工具只要实现了某种程度的攻击自动化,都会遭到批判。

 
 
新闻快讯 业界活动
宣传工作 权威发布
网络安全 监督观察
交流专访 媒体倡议
媒介学院 传媒研究
公民新闻奖 企划部
 
 
关于我们 - 服务项目 - 自媒体签约 - 企宣推广 - 联系我们
Copyright © 2020 www.meijiesuyang.com All Rights Reserved
陕ICP备19024063号-3 服务热线:18192709294
媒介素养网(meijiesuyangwang.com)以“立足媒介,传播科学”为平台宗旨,致力于媒介素养教育普及、企事业单位媒体服务定制和企划人才的培养。
   
    微信公众号