fluxxset/Evilpunch

#

###

用于授权红队行动和安全研究的快速、可配置的反向代理仪表板。

## 目录 - [演示](#demo) - [功能](#features) - [运行仪表板](#run-the-dashboard) - [EvilPuppet 高级用法](#-advanced-usage-with-evilpuppet) - [社区与资源](#community--resources) - [法律与伦理声明](#legal--ethical-notice) - [许可与权限](#license--permissions) ## ## ✨ 功能 - **🌐 Web 仪表板**: 通过 `config.json` 确保管理员登录。 - **🔗 使用多个域名的选项**: 支持跨多个域名配置进行管理和部署。 - **🔄 使用代理的选项**: 灵活的代理配置和管理。 - **➡️ 可使用重定向器**: 用于增强钓鱼活动的高级重定向器系统。 - **⚡ 钓鱼页面缓存机制**: 通过智能缓存优化性能。 - **⚡ Websocket 支持** - **📱 Telegram 报告警报系统**: 通过 Telegram 进行实时通知和警报。 - **🔍 会话过滤器**: 对捕获的会话进行高级过滤和管理。 - **🚀 以及更多**: 用于全面钓鱼模拟的丰富功能。 ## 运行仪表板 ### 🚀 快速开始（一条命令） #### 推荐操作系统 Ubuntu 22.04 或任何 Ubuntu 的 LTS 版本 ``` chmod +x run.sh && ./run.sh -d # for devloper mode chmod +x run.sh && ./run.sh -p # for production mode ``` 这将： - 安装 Python（如果缺失）和适用于您的操作系统的工具 - 创建/激活虚拟环境 - 从 `requirements.txt` 安装依赖项 - 运行数据库迁移 - 使用配置的主机/端口启动 Django 服务器 ### 🔧 手动设置 ``` # 创建文: python3 -m venv venv source venv/bin/activate # 1) 创建并激活 virtual environment pip install -r requirements.txt # 2) 安装 dependencies cd evilpunch python manage.py migrate python manage.py runserver ``` ### ⚙️ 配置主机、端口和管理员登录 - 编辑 `evilpunch/config/config.json`: - `dashboard_host`（默认 `0.0.0.0`）和 `dashboard_port`（默认 `9000`） - `dashboard_username` 和 `dashboard_password` - 启动时，将为管理员用户确保这些凭据。 - 要使用不同的配置路径，请设置 `REVERSE_PROXY_CONFIG_PATH` 或 `CONFIG_PATH`。 ### 🚪 访问仪表板 - 本地: `http://localhost:9000` - 远程/LAN: `http://:9000`（在防火墙中打开该端口） - 使用 `config.json` 中的凭据登录（默认 `admin` / `admin`）。请立即更改它们。 ### 📝 注意事项 - 开发服务器绑定到 `evilpunch/config/config.json` 中的主机/端口。 - 如果暴露在 localhost 之外，请在 `evilpunch/evilpunch/settings.py` 中设置 `ALLOWED_HOSTS` 以用于生产环境。 ### 🎭 EvilPuppet 高级用法 关于 **EvilPuppet**（用于 Cookie 提取和注入的浏览器自动化）的高级用法： - 查看 `evilpunch/core/puppet.py` 文件以了解实现细节 - 根据您的具体需求修改代码 - 要查看现有演示，只需在 `puppet.py` 中**取消代码注释** - Puppet 功能允许您： - 使用 Playwright 从真实浏览器会话中提取 Cookie - 自动将 Cookie 注入响应中 - 处理高级身份验证流程 **注意**: 确保已安装 Playwright 并设置了浏览器。有关详细设置说明，请参阅 `PUPPET_SETUP.md`。 ## 🌐 社区与资源 充分利用 EvilPunch 所需的一切——教程、文档、工具、课程和社区——尽在一处。 - **YouTube 频道**: 分步教程、功能深度解析和更新 — [打开 YouTube](https://www.youtube.com/@FluxxSet) - **官方网站**: 最新新闻、文档和公告 — [打开网站](https://fluxxset.com/) - **社区论坛**: 提问、分享知识、探索解决方案 — [打开论坛](https://fluxxset.com/) - **商店与培训课程**: 通过结构化学习和优质内容提升水平 — [打开商店](https://fourthwall.fluxxset.com/) - **工具**: 提升工作流程的配套工具和实用程序 — [打开工具](https://tools.fluxxset.com/) - **Telegram 社区**: 快速更新、公告和社区支持 — [打开 Telegram](https://t.me/fluxxset) 快速链接： - **访问论坛**: [fluxxset.com](https://fluxxset.com/) - **加入 Telegram**: [t.me/fluxxset](https://t.me/fluxxset) ## ⚖️ 法律与伦理声明 本项目（包括所有相关模块、脚本和用户界面）严格提供给经授权的专业人员，用于合法的安全测试和教育目的。未经授权的使用可能是非法的，并可能导致刑事和民事处罚。 **未经明确许可，网络钓鱼是非法的。** 在进行任何测试之前，您必须拥有系统所有者的书面授权（例如合同、参与函或签署的范围）。 ### 👥 目标受众 - 根据有效的工作说明书（Statement of Work）工作的红队成员和渗透测试人员。 - 在受控环境中进行对手模拟的蓝队成员和防御者。 - 在实验室环境中经同意进行工作的安全研究人员和教育工作者。 ### ✅ 您同意 - 仅在获得资产所有者明确书面授权的情况下使用此工具。 - 遵守您所在司法管辖区所有适用的法律法规。 - 保护捕获的数据，并根据您参与的保密规则进行处理。 - 避免在未经范围批准的情况下针对无关的第三方或生产环境。 ### 🔒 数据处理 - 将数据收集限制在参与所需的范围内。 - 安全地存储敏感数据，并尽可能在静态和传输过程中对其进行加密。 - 在参与结束时或根据合同义务及时清除数据。 ### ⚠️ 免责声明 作者和贡献者不对因滥用本软件造成的任何损害或损失负责。使用本项目意味着您理解并接受这些条款，并将负责任且合法地使用它。 ## 📄 许可与权限 您表示您希望获得一个允许免费使用但要求修改和组织/商业使用需经许可的许可证。以下占位符反映了该意图。您可以随意替换或完善本部分的内容，作为您的最终许可证文本。 - **免费使用**: 您可以免费下载、安装和使用本项目用于个人、教育和内部研究目的。 - **需要许可**: 在进行以下任何操作之前，您必须获得项目所有者的事先书面许可： - 修改源代码并分发修改后的版本。 - 在组织、客户或商业参与中使用该软件。 - 重新分发二进制文件、包或衍生作品。 - 提供基于本项目的付费服务、托管或支持。 - **归属**: 不得删除或更改通知、致谢或品牌标识。 - **如何请求许可**: 通过 Telegram [t.me/fluxxset](https://t.me/fluxxset) 或通过网站 [fluxxset.com](https://fluxxset.com/) 联系维护者。 - **无担保**: 该软件按“原样”提供，不提供任何形式的担保。 Evilpunch 由 Fluxxset (@fluxxset) 制作，并根据 BSD-3 许可证发布。

标签：C2框架, Django, ESC8, IP 地址批量处理, Python, Web安全, 中间人攻击, 代理工具, 反向代理, 合法测试, 安全合规, 安全学习资源, 攻击模拟, 无后门, 时间线生成, 模糊测试, 特征检测, 社会工程学, 红队基础设施, 网络代理, 网络安全, 网络钓鱼模拟, 蓝队分析, 逆向工具, 重定向器, 钓鱼演练, 隐私保护, 驱动签名利用