近期出现了可综合利用 Shodan 设备搜索引擎和 Metasploit 渗透测试工具的 Python 代码. 该代码会用 Shodan.io 自动搜索有漏洞的在线设备, 随后使用 Metasploit 的漏洞利用数据库劫持计算机和其他在线设备.
只需点击运行, 该脚本就会爬取互联网, 寻找可以攻击的脆弱主机(通常是因为没打补丁), 并自动取得对这些主机的控制权. 完全无需什么高端的黑客技术.
这段 Python 2.7 脚本名为 AutoSploit, 是昵称为 "Vector" 的用户于本周上传到 GitHub 上的, 会在通过 Shodan 搜索引擎收集到目标后 (需 API 密钥) 尝试调用 Metasploit 模块攻击目标.
Metasploit 是模块化开源渗透测试工具, 内含软件和其他产品的安全漏洞利用代码块, 可以抽取各类系统的信息, 或者在设备上开启远程控制. Shodan 可以搜索面向公网的计算机, 服务器, 工业设备, 网络摄像头和其他设备, 搜出这些设备的开放端口和可利用的服务.
GitHub 代码库上写道:"精选了 Metasploit 模块辅助远程代码执行, 尝试建立反向 TCP Shell 和 Meterpreter 会话."
因为此类自动化攻击可能带来法律问题, 该代码库还附了一份警告, 称在易被追踪溯源的机器上执行该代码不是明智的做法.
一些安全同行认为将此自动化攻击代码公布本身就不是什么好主意, 与 Shodan 的联系就已经在法律的边缘试探了. 将可大规模漏洞利用公共系统的代码放到脚本小子触手可及的范围是不合理的."可以做" 和 "该不该做" 是两码事. 这事儿有可能得悲剧收场.
但同时, 将漏洞扫描和漏洞利用明确联系起来的做法可能蕴含有一定价值. 该操作昭示出自动化可以击败安全防御.
该工具的作者 Vector 称该代码被安全社区广为接受.
当然, 批评是少不了的, 但任何工具只要实现了某种程度的攻击自动化, 都会遭到批判.
任何事物都有正反两面, 全看你怎么用. 我可不是信息看门人, 信息应该是共享的, 我不过是开源拥护者而已.
来源: http://netsecurity.51cto.com/art/201810/585977.htm