關(guān)于AutoPWN-Suite

AutoPWN-Suite是一款功能強大的自動化漏洞掃描和利用工具，在該工具的幫助下，廣大研究人員可以輕松通過自動化的方式掃描和利用目標系統(tǒng)中潛在的安全漏洞。

功能介紹

1、實現(xiàn)了完全自動化（使用-y選項開啟）；

2、無需用戶輸入即可檢測全范圍網(wǎng)絡IP；

3、基于版本的漏洞檢測；

4、Web應用漏洞測試；

5、支持從終端獲取跟漏洞相關(guān)的信息；

6、自動下載與漏洞相關(guān)的漏洞利用代碼；

7、提供了在網(wǎng)絡中制造噪聲的噪聲模塊；

8、提供繞過/規(guī)避功能；

9、根據(jù)權(quán)限自動決定要使用的掃描類型；

10、易于閱讀和理解的輸出報告；

11、使用配置文件指定參數(shù)；

12、通過webhook或電子郵件發(fā)送掃描結(jié)果；

13、支持windows、macOS和linux系統(tǒng)；

工具機制

AutoPWN使用了nmap的TCP-SYN掃描來枚舉目標網(wǎng)絡系統(tǒng)中的主機，并檢測目標主機中運行的軟件版本。在獲取到足夠多的主機信息之后，AutoPWN將會自動生成一份關(guān)鍵詞列表，并搜索NIST漏洞數(shù)據(jù)庫。

工具安裝

該工具基于Python/ target=_blank class=infotextkey>Python開發(fā)，因此我們首先需要在本地設備上安裝并配置好Python環(huán)境。

接下來，我們可以直接使用pip命令來下載和安裝AutoPWN-Suite：

sudo pip install autopwn-suite

除此之外，我們也可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/GamehunterKaan/AutoPWN-Suite.git

如果你使用的是Debian系統(tǒng)的話，也可以直接從該項目的【Releases頁面】下載Debian（deb）數(shù)據(jù)包，并運行下列命令完成工具的安裝：

sudo apt-get install ./autopwn-suite_1.5.0.deb

如果你不想在本地安裝、配置和使用該工具的話，也可以直接使用google Cloud Shell：【打開GoogleCloudShell】。

工具使用

注意：我們建議大家使用root權(quán)限（sudo）來運行該工具。

工具幫助菜單

$ autopwn-suite -h

usage: autopwn.py [-h] [-v] [-y] [-c CONFIG] [-t TARGET] [-hf HOSTFILE] [-st {arp,ping}] [-nf NMAPFLAGS] [-s {0,1,2,3,4,5}] [-a API] [-m {evade,noise,normal}]

                  [-nt TIMEOUT] [-o OUTPUT] [-rp {email,webhook}] [-rpe EMAIL] [-rpep PASSword] [-rpet EMAIL] [-rpef EMAIL] [-rpes SERVER] [-rpesp PORT] [-rpw WEBHOOK]

 

AutoPWN Suite

 

options:

  -h, --help            顯示幫助信息和退出

  -v, --version          打印工具版本和退出

  -y, --yesplease        靜默模式 (全自動模式)

  -c CONFIG, --config CONFIG

                       指定使用的配置文件 (默認: None)

 

Scanning:

  Options for scanning

 

  -t TARGET, --target TARGET

                        要掃描的范圍 (例如192.168.0.1 or 192.168.0.0/24)

  -hf HOSTFILE, --hostfile HOSTFILE

                        待掃描的主機文件列表

  -st {arp,ping}, --scantype {arp,ping}

                        掃描類型

  -nf NMAPFLAGS, --nmapflags NMAPFLAGS

                        用于執(zhí)行端口掃描的自定義nmap參數(shù) (例如 : -nf="-O")

  -s {0,1,2,3,4,5}, --speed {0,1,2,3,4,5}

                        掃描速度 (默認: 3)

  -a API, --api API       漏洞檢測API密鑰 (默認: None)

  -m {evade,noise,normal}, --mode {evade,noise,normal}

                        掃描模式

  -nt TIMEOUT, --noisetimeout TIMEOUT

                        噪聲模式超時 (默認: None)

 

Reporting:

  Options for reporting

 

  -o OUTPUT, --output OUTPUT

                        輸出文件名稱 (默認: autopwn.log)

  -rp {email,webhook}, --report {email,webhook}

                        報告發(fā)送方法

  -rpe EMAIL, --reportemail EMAIL

                        用于發(fā)送報告的電子郵件地址

  -rpep PASSWORD, --reportemailpassword PASSWORD

                        電子郵件報告密碼

  -rpet EMAIL, --reportemailto EMAIL

                        電子郵件發(fā)送目的地址

  -rpef EMAIL, --reportemailfrom EMAIL

                        發(fā)送報告的電子郵件地址

  -rpes SERVER, --reportemailserver SERVER

                        使用電子郵件服務器發(fā)送報告

  -rpesp PORT, --reportemailserverport PORT

                        電子郵件服務器端口

  -rpw WEBHOOK, --reportwebhook WEBHOOK

                        使用Webhook發(fā)送報告

自動化模式使用

autopwn-suite -y

工具運行截圖

工具使用演示

視頻地址：
https://asciinema.org/a/497930

許可證協(xié)議

本項目的開發(fā)與發(fā)布遵循EULA許可證協(xié)議。

項目地址

AutoPWN-Suite：https://github.com/GamehunterKaan/AutoPWN-Suite