关于AutoPWN-Suite
AutoPWN-Suite是一款功能强大的自动化漏洞扫描和利用工具,在该工具的帮助下,广大研究人员可以轻松通过自动化的方式扫描和利用目标系统中潜在的安全漏洞。
功能介绍
1、实现了完全自动化(使用-y选项开启); 2、无需用户输入即可检测全范围网络IP; 3、基于版本的漏洞检测; 4、Web应用漏洞测试; 5、支持从终端获取跟漏洞相关的信息; 6、自动下载与漏洞相关的漏洞利用代码; 7、提供了在网络中制造噪声的噪声模块; 8、提供绕过/规避功能; 9、根据权限自动决定要使用的扫描类型; 10、易于阅读和理解的输出报告; 11、使用配置文件指定参数; 12、通过webhook或电子邮件发送扫描结果; 13、支持Windows、macOS和Linux系统;
工具机制
AutoPWN使用了nmap的TCP-SYN扫描来枚举目标网络系统中的主机,并检测目标主机中运行的软件版本。在获取到足够多的主机信息之后,AutoPWN将会自动生成一份关键词列表,并搜索NIST漏洞数据库。
工具安装
该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。
接下来,我们可以直接使用pip命令来下载和安装AutoPWN-Suite:
sudo pip install autopwn-suite除此之外,我们也可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/GamehunterKaan/AutoPWN-Suite.git如果你使用的是Debian系统的话,也可以直接从该项目的【Releases页面】下载Debian(deb)数据包,并运行下列命令完成工具的安装:
sudo apt-get install ./autopwn-suite_1.5.0.deb如果你不想在本地安装、配置和使用该工具的话,也可以直接使用Google Cloud Shell:
地址:https://shell.cloud.google.com/cloudshell/editor?cloudshell_git_repo=https:/github.com/GamehunterKaan/AutoPWN-Suite.git
工具使用
注意:我们建议大家使用root权限(sudo)来运行该工具。
工具帮助菜单
$ autopwn-suite -h
usage: autopwn.py [-h] [-v] [-y] [-c CONFIG] [-t TARGET] [-hf HOSTFILE] [-st {
arp,ping}
] [-nf NMAPFLAGS] [-s {
0,1,2,3,4,5}
] [-a API] [-m {
evade,noise,normal}
]
[-nt TIMEOUT] [-o OUTPUT] [-rp {
email,webhook}
] [-rpe EMAIL] [-rpep PASSWORD] [-rpet EMAIL] [-rpef EMAIL] [-rpes SERVER] [-rpesp PORT] [-rpw WEBHOOK]
AutoPWN Suite
options:
-h, --help 显示帮助信息和退出
-v, --version 打印工具版本和退出
-y, --yesplease 静默模式 (全自动模式)
-c CONFIG, --config CONFIG
指定使用的配置文件 (默认: None)
Scanning:
Options for scanning
-t TARGET, --target TARGET
要扫描的范围 (例如192.168.0.1 or 192.168.0.0/24)
-hf HOSTFILE, --hostfile HOSTFILE
待扫描的主机文件列表
-st {
arp,ping}
, --scantype {
arp,ping}
扫描类型
-nf NMAPFLAGS, --nmapflags NMAPFLAGS
用于执行端口扫描的自定义nmap参数 (例如 : -nf="-O")
-s {
0,1,2,3,4,5}
, --speed {
0,1,2,3,4,5}
扫描速度 (默认: 3)
-a API, --api API 漏洞检测API密钥 (默认: None)
-m {
evade,noise,normal}
, --mode {
evade,noise,normal}
扫描模式
-nt TIMEOUT, --noisetimeout TIMEOUT
噪声模式超时 (默认: None)
Reporting:
Options for reporting
-o OUTPUT, --output OUTPUT
输出文件名称 (默认: autopwn.log)
-rp {
email,webhook}
, --report {
email,webhook}
报告发送方法
-rpe EMAIL, --reportemail EMAIL
用于发送报告的电子邮件地址
-rpep PASSWORD, --reportemailpassword PASSWORD
电子邮件报告密码
-rpet EMAIL, --reportemailto EMAIL
电子邮件发送目的地址
-rpef EMAIL, --reportemailfrom EMAIL
发送报告的电子邮件地址
-rpes SERVER, --reportemailserver SERVER
使用电子邮件服务器发送报告
-rpesp PORT, --reportemailserverport PORT
电子邮件服务器端口
-rpw WEBHOOK, --reportwebhook WEBHOOK
使用Webhook发送报告自动化模式使用
autopwn-suite -y工具使用演示
https://asciinema.org/a/497930
许可证协议
本项目的开发与发布遵循EULA许可证协议。
项目地址
https://github.com/GamehunterKaan/AutoPWN-Suite
参考资料
https://www.nist.gov/ https://pwnspot.com/posts/AutoPWN/ https://shell.cloud.google.com/cloudshell/editor?cloudshell_git_repo=https://github.com/GamehunterKaan/AutoPWN-Suite.git https://github.com/GamehunterKaan/AutoPWN-Suite/issues/9 https://github.com/calebstewart/pwncat https://github.com/GamehunterKaan/AutoPWN-Suite/blob/main/.github/CONTRIBUTING.md