hawk1411/PhantomHunt

GitHub: hawk1411/PhantomHunt

一个使用 Python 开发的隐蔽式内网威胁猎杀工具,专注于低噪音资产发现、权限提升检测、凭证抓取与域模拟,并能生成映射 MITRE ATT&CK 的专业报告。

Stars: 0 | Forks: 0

# PhantomHunt **隐蔽式内网威胁猎手** 这是一个使用 Python 开发的毕业季网络安全项目,能够执行隐蔽的资产发现、权限提升检查、凭证抓取、域模拟,并生成映射了 MITRE ATT&CK 的专业报告。 **演示 GIF / 截图**(稍后在您打开报告 PDF 时添加) ![PhantomHunt 报告演示](https://raw.githubusercontent.com/hawk1411/PhantomHunt/main/reports/screenshot-report.png) *(占位符 – 请替换为您生成的 PDF/HTML 报告的实际截图)* ## 功能 - **隐蔽资产发现** — 使用 ARP 扫描(不使用嘈杂的 Nmap/ICMP)来查找本地网络上的活动主机 - **权限提升检测** — 检查常见的 Windows LPE 向量(Print Spooler、AlwaysInstallElevated、SeImpersonate 等) - **凭证访问** — 抓取已保存的 Wi-Fi 密码和浏览器凭证(Chrome/Edge) - **域与 AD 模拟** — 基础的域枚举 + Kerberoasting/横向移动占位符(安全的演示模式) - **精美的报告** — 生成带有 MITRE ATT&CK 标签、时间线和风险摘要的 HTML + PDF 报告 - **专注于隐蔽性** — 设计为低噪音且具有教育意义(默认情况下不会执行真正的破坏性操作) ## 技术栈 - Python 3.10+ - 库:`rich`、`scapy`、`impacket`、`pywin32`、`jinja2`、`weasyprint`、`netaddr`、`pycryptodome` - 在 Windows 上运行(已测试),可能部分支持 Linux ## 安装说明 1. **前置条件** - Python 3.10+ - Npcap(用于 Scapy 原始数据包)→ https://npcap.com/(安装时勾选 WinPcap 兼容性) - WeasyPrint 依赖项 → 安装 MSYS2 + Pango(见下文) 2. **克隆仓库** git clone https://github.com/hawk1411/PhantomHunt.git cd PhantomHunt 3. **创建并激活虚拟环境** python -m venv venv venv\Scripts\activate # Windows # source venv/bin/activate # Linux/macOS 4. **安装依赖项** pip install -r requirements.txt 5. **安装 WeasyPrint 原生依赖项(仅限 Windows)** 安装 MSYS2:https://www.msys2.org/ 打开 MSYS2 MinGW 64-bit shell: pacman -Syu --noconfirm pacman -S mingw-w64-x86_64-pango --noconfirm``` set WEASYPRINT_DLL_DIRECTORIES=C:\msys64\mingw64\bin pip install weasyprint 6. **运行工具** python main.py 7. **使用演示** PhantomHunt - Stealth Internal Threat Hunter [1] Silent Discovery [2] Priv Esc + Credential Dump [3] Domain Enum + Kerberoasting + Lateral [4] Generate Full Report Choose (1-4): 8. **项目结构** PhantomHunt/ ├── main.py # CLI entry point + menu ├── requirements.txt ├── phantomhunt/ │ ├── modules/ │ │ ├── discovery.py # Phase 1: Silent ARP discovery │ │ ├── phase2.py # Phase 2: Priv esc + credential dump │ │ ├── phase3.py # Phase 3: Domain + Kerberoast + lateral sim │ │ └── report.py # Report generation (HTML + PDF) │ └── resources/ │ └── report_template.html ├── reports/ # Generated reports + template ├── assets.json # Saved discovery data (optional) └── venv/ # Virtual environment (not committed) 9. **未来改进(计划中)** - 为 Phase 2 和 Phase 3 的发现添加 JSON 持久化 - 更多权限提升检查(脆弱服务、未加引号的路径、UAC 绕过等) - 为 Kerberoasting 和横向移动集成真实的 Impacket(仅限实验室) - 添加规避技术和 C2 模拟 - 提供 Docker 支持以便于实验室部署 10. **许可证** MIT 许可证 – 见 LICENSE 文件 11. **作者** Ravi (hawk1411) 毕业季网络安全项目 – 2025–2026 **出于 ❤️ 学习红队技术和威胁狩猎而构建。** **如果你觉得有用,请点个 Star ⭐!**
标签:Python, Web报告查看器, 内网扫描, 内网攻防, 协议分析, 插件系统, 无后门, 权限提升, 模拟器, 网络安全, 逆向工具, 隐私保护