HCKNKnuckleORG/PlanetHack_BudddyTool

# 🌍 PlanetHack - CTF 与漏洞赏金工具 由 **HCKNKnuckle** 创建 一个综合性的 CTF 和漏洞赏金狩猎工具，灵感来自经典电影《黑客》的美学风格。专为 CTF、练习靶场和实验室环境（如 **Hack The Box**、**TryHackMe**、**PwnLab** 和 **VulnHub**）以及授权的漏洞赏金测试而构建。 **平台：** Linux（Ubuntu、Kali、Debian）。Docker 可在任何 Linux 主机上运行。 ## 🎯 功能 - **引导式侦察工作流** - 从"你想做什么？"开始；输入目标（IP 或域名）；构建分阶段工具计划；执行或复制命令 - **80 年代复古 GUI** - 赛博朋克美学风格，配有霓虹色彩和终端氛围 - **Kali Linux 即用** - 专为 Kali 设计，包含 nmap、nikto、gobuster、whatweb、nuclei（备选：feroxbuster、dirb） - **模块化架构** - 每个漏洞赏金训练营章节都有独立的模块 - **多语言** - Python（API/引擎）、TypeScript（SPA 前端） - **Docker 就绪** - 在容器中运行一切 - **CI/CD 流水线** - 自动化构建和部署 - **全面日志记录** - 通过结构化日志跟踪所有活动 ## 📚 模块（漏洞赏金训练营） 每个章节对应一个模块。指南：*漏洞赏金训练营*，作者 Vickie Li。 | 章节 | 模块 | 描述 | |----|--------|-------------| | 5 | **侦察** | nmap、whatweb、nikto、gobuster、nuclei。预设：完整、CTF、Web | | 6 | **XSS** | 反射型、存储型、DOM 型 XSS | | 7 | **开放重定向** | 开放重定向漏洞测试 | | 8 | **点击劫持** | UI 重叠、点击劫持 | | 9 | **CSRF** | 跨站请求伪造 | | 10,17 | **访问控制** | IDOR、权限提升、逻辑错误 | | 11 | **SQL 注入** | 检测、利用、有效载荷 | | 12 | **业务逻辑** | 竞态条件、工作流操纵 | | 13 | **SSRF** | 服务端请求伪造 | | 14 | **反序列化** | 不安全的反序列化 | | 15 | **XXE** | XML 外部实体 | | 16 | **模板注入** | SSTI 测试 | | 18 | **RCE** | 远程代码执行 | | 20 | **认证** | 会话、JWT、OAuth、SSO | | 21 | **信息泄露** | 敏感数据暴露 | | 24 | **API 安全** | REST/GraphQL、速率限制 | | 25 | **模糊测试** | 自动漏洞发现 | | — | **暴力破解** | 密码/凭证攻击（Hydra）— SSH、HTTP 表单、FTP、MySQL、RDP、SMB | 此外还有：文件上传、会话管理、请求走私、Web 缓存 ## 更新系统（预发布） 用于 Ubuntu Server 预发布环境自更新： - **版本：** `VERSION` 文件（语义版本）。使用 `./scripts version.sh bump patch|minor|major` 升级 - **重置：** `./scripts version.sh reset` → 0.0.0-dev - **更新：** `./scripts/update.sh`（git pull + 依赖 + 构建）或 `./scripts/update.sh --restart` ## 首次设置 1. **克隆或下载**此仓库 2. **运行设置**（推荐在 Kali 上）：`python main.py --setup` 或 `./setup.sh` - 检查所需工具（nmap、nikto、gobuster、whatweb、nuclei 等） - 提示通过 apt 安装缺失的工具（仅限 Kali/Debian） 3. **配置**：将 `config/config.example.yaml` 复制到 `config/config.yaml` 进行自定义（可选） 4. **无需 API 密钥**；工具在本地运行 ## 🚀 快速开始 ### 统一启动器（最简单） ``` chmod +x launch.sh && ./launch.sh ``` 从菜单中选择：Web、GUI 或 CLI — 本地虚拟环境或 Docker。 📖 **完整选项矩阵请参阅 [SETUP_OPTIONS.md](SETUP_OPTIONS.md)** ### 运行选项一览 | 模式 | 本地（venv） | Docker | |------|--------------|--------| | **Web** | `./launch.sh` → 1 / `make run-web` | `docker-compose up -d` → http://localhost:8080 | | **GUI** | `./launch.sh` → 2 / `make run-gui` | *（不支持）* | | **CLI** | `./launch.sh` → 3 / `make run-cli` | `docker-compose exec planet-hack python main.py --cli` | ### Docker（Web UI） ``` docker-compose up -d # 访问 http://localhost:8080 ``` 📖 **详细 Docker 说明请参阅 [DOCKER_GUIDE.md](DOCKER_GUIDE.md)** ### TypeScript/React UI（默认） Web UI 使用构建后的 **React SPA**。构建一次，然后启动： ``` # 1. 构建 React 前端和 legacy 脚本（一次，或在拉取代码后） cd frontend && npm install && npm run build cd .. # 2. 启动服务器 python main.py --web # 访问 http://localhost:8080 — React UI ``` 如果 `frontend/dist` 不存在，Flask 会回退到传统的 Jinja2 UI。构建步骤还会将传统脚本（`app.js`、`terminal.js`、`matrix-rain.js`）从 TypeScript 编译到 `python/web/static/js/`。 ### 开发模式（Vite 开发服务器） 前端开发期间热重载： ``` # 终端 1: Flask API python main.py --web # 终端 2: Vite 开发服务器 cd frontend && npm run dev # 访问 http://localhost:5173 — React 开发 UI（带热重载） ``` **Kali**：侦察工作流调用 nmap、nikto、gobuster、whatweb、nuclei。词表：`config/config.yaml` → `tools.kali`。 ## 🏗️ 项目结构 ``` PlanetHack_BudddyTool/ ├── python/ # Python (API engine, modules) │ ├── gui/ # Tkinter GUI (legacy) │ ├── web/ # Flask API + legacy Jinja2 UI │ │ ├── api_blueprint.py # REST API v1 (/api/v1/*) │ │ ├── jobs.py # Job store for async runs │ │ ├── static/ # CSS, JS (cyber theme) │ │ └── templates/ # Jinja2 HTML (legacy) │ ├── core/ # config, recon_plan, tool_runner │ ├── modules/ # Bug bounty modules │ └── utils/ # helpers ├── frontend/ # TypeScript SPA (Vite + React) │ └── src/ # Pages, API client, styles ├── config/ # config.yaml └── logs/ # Application logs (planethack_errors.log = errors only, check first) ``` ## 🎨 主题 灵感来自 **《黑客》（1995）**、**《剑鱼》（2001）** 和 **《黑客帝国》（1999）**： - 矩阵数字雨动画（Canvas / Tkinter） - 黑色背景上的霓虹绿、青色、洋红色 - CRT 扫描线叠加 - 来自这三部电影的轮转名言 - ASCII 艺术横幅 - 自定义霓虹发光按钮 ## 🔧 故障排除 出现问题时，**首先检查 `logs/planethack_errors.log`** — 错误会自动保存到那里，包含完整的堆栈跟踪。 📖 有关日志位置、常见问题和详细日志记录，请参阅 **[TROUBLESHOOTING.md](TROUBLESHOOTING.md)**。 ## 📝 许可证 MIT 许可证 — 详见 LICENSE 文件 ## 🤝 贡献 欢迎贡献！请先阅读 CONTRIBUTING.md。 ## 👤 作者 **HCKNKnuckle** ## 安全与法律 **此工具仅用于授权的安全测试。** - **仓库中无秘密** — 不提交 API 密钥、凭证或个人数据。详见 [SECURITY.md](SECURITY.md)。 - **仅限授权使用** — 仅测试您拥有或已获得明确书面许可测试的系统 - **无担保** — 风险自担；维护者不对滥用负责 - **数据处理** — 扫描结果、日志和报告保留在本地。切勿将 `config/config.yaml`、`.env`、`logs/`、`sessions/` 或 `reports/` 提交到版本控制 **请记住：仅能黑掉您拥有或已获得明确许可测试的系统！**

标签：Bug bounty, CSRF, CTF工具, CTF平台, Docker, gobuster, HackTheBox, IDOR, nikto, nuclei, Python, SSRF, TIP, TryHackMe, TypeScript, VulnHub, Web安全, whatweb, XSS漏洞, XXE, 业务逻辑漏洞, 云存储安全, 侦察工具, 反序列化, 复古终端, 安全插件, 安全防御评估, 实时处理, 密码管理, 开放重定向, 插件系统, 无后门, 模板注入, 渗透测试框架, 漏洞搜索, 点击劫持, 用户模式钩子绕过, 网络扫描, 蓝队分析, 请求拦截, 赛博朋克, 越权漏洞, 逆向工具, 防御, 黑客美学