自动化渗透工具AutoSploit

工具介绍

AutoSploit会使用Shodan API自动收集目标，前面已经提到通过关键词搜索，如Apache，IIS等。该步骤完成后，工具的“Exploit”组件就会运行一系列Metasploit模块来尝试利用目标，用哪些模块取决于该模块与搜索的关键词的匹配程度。不过作者也添加了运行所有可用模块的功能来进行“病急乱投医”式渗透。

可用模块会尝试远程代码执行或得到TCP reverse shell或Meterpreter会话，在“Exploit”组件弹出之前可以配置IP，端口等。从OPSEC角度来看，使用本地主机接收连接并不是好主意，你可以考虑使用VPS。

工具使用

首先下载：

git clone https://github.com/NullArray/AutoSploit.git

可用模块

在该工具中可用的模块都是可以远程执行代码的，你可以在modules.txt里查看这些模块。如果你想要添加更多模块，请通过以下方式添加：

use exploit/linux/http/netgear_wnr2000_rce;exploit -j;

另起一行将其添加到modules.txt中即可。

依赖

AutoSploit依赖于以下Python2.7模块。

shodan
blessings

如果你发现没有安装这些，可以使用pip：

pip install shodan
pip install blessings

由于AutoSploit调用了Metasploit Framework，所以你同时需要安装它。点击这里从Rapid7获取。

注意事项

虽然这不完全是一个Beta版本，但也算是个早期版本。在未来该工具可能会发生一些变化，如果你碰巧遇到bug或者也希望改善这款工具，那么点击这里前往提交。另外，请勿将其用于非法用途！