AutoPentestX 是一款面向 Linux 系统的开源自动化渗透测试工具包,通过单条命令即可完成全面的安全评估。该工具由 Gowtham Darkseid 开发并于 2025 年 11 月发布,能够生成专业的 PDF 报告,同时强调安全、非破坏性的测试方式。
支持系统与核心功能
AutoPentestX 主要针对 Kali Linux、Ubuntu 和基于 Debian 的发行版,自动化执行以下操作:
- 操作系统检测
- 端口扫描
- 服务枚举
- 漏洞检查
该工具集成 Nmap 进行网络扫描,使用 Nikto 和 SQLMap 进行 Web 测试,并通过 CVE 查询功能基于 CVSS 指标进行风险评分。测试结果存储在 SQLite 数据库中,支持通过 Metasploit RC 脚本进行手动漏洞利用审查,而不会造成实际危害。
集成工具与功能
| 工具 | 用途 | 集成方式 |
|---|---|---|
| Nmap | 端口/操作系统扫描、服务枚举 | python-nmap 库 |
| Nikto | Web 服务器漏洞检测 | 子进程执行 |
| SQLMap | SQL 注入检测 | 子进程执行 |
| Metasploit | 漏洞利用模拟 | RC 脚本生成 |
| CVE CIRCL | 漏洞数据库查询 | REST API 调用 |
| ReportLab | PDF 报告生成 | Python 库 |
该表格展示了工具的模块化设计,用户可通过命令行标志跳过 Web 扫描或漏洞利用环节。
安装与使用
安装要求:
- Python 3.8+
- root 权限
- Nmap 等工具
安装步骤:
- 克隆代码仓库
- 运行
./install.sh安装依赖 - 或手动创建虚拟环境并执行
pip install -r requirements.txt
使用方法: 执行 ./autopentestx.sh <目标IP> 启动完整扫描,结果输出至 reports/、logs/ 和 database/ 目录。
可选参数:
--no-safe-mode(不推荐)--skip-web- 自定义测试者名称
扫描耗时约 5-30 分钟,生成的 PDF 报告包含:
- 执行摘要
- 风险分类(CRITICAL:CVSS 9.0+)
- 修复建议
- 开放端口表
- CVE 详情
- 加权评分(考虑可利用性)
所有数据均持久化存储以支持历史分析,并可导出 JSON 格式便于集成。安全模式确保不会造成系统中断,所有操作均记录日志以供审计。
法律声明与未来计划
该工具仅限授权测试使用,包含禁止未经授权使用的免责声明,并要求符合相关法律法规。未来开发计划包括:
- 多目标支持
- 机器学习预测功能