hawk1411/PhantomHunt
GitHub: hawk1411/PhantomHunt
一个使用 Python 开发的隐蔽式内网威胁猎杀工具,专注于低噪音资产发现、权限提升检测、凭证抓取与域模拟,并能生成映射 MITRE ATT&CK 的专业报告。
Stars: 0 | Forks: 0
# PhantomHunt
**隐蔽式内网威胁猎手**
这是一个使用 Python 开发的毕业季网络安全项目,能够执行隐蔽的资产发现、权限提升检查、凭证抓取、域模拟,并生成映射了 MITRE ATT&CK 的专业报告。
**演示 GIF / 截图**(稍后在您打开报告 PDF 时添加)

*(占位符 – 请替换为您生成的 PDF/HTML 报告的实际截图)*
## 功能
- **隐蔽资产发现** — 使用 ARP 扫描(不使用嘈杂的 Nmap/ICMP)来查找本地网络上的活动主机
- **权限提升检测** — 检查常见的 Windows LPE 向量(Print Spooler、AlwaysInstallElevated、SeImpersonate 等)
- **凭证访问** — 抓取已保存的 Wi-Fi 密码和浏览器凭证(Chrome/Edge)
- **域与 AD 模拟** — 基础的域枚举 + Kerberoasting/横向移动占位符(安全的演示模式)
- **精美的报告** — 生成带有 MITRE ATT&CK 标签、时间线和风险摘要的 HTML + PDF 报告
- **专注于隐蔽性** — 设计为低噪音且具有教育意义(默认情况下不会执行真正的破坏性操作)
## 技术栈
- Python 3.10+
- 库:`rich`、`scapy`、`impacket`、`pywin32`、`jinja2`、`weasyprint`、`netaddr`、`pycryptodome`
- 在 Windows 上运行(已测试),可能部分支持 Linux
## 安装说明
1. **前置条件**
- Python 3.10+
- Npcap(用于 Scapy 原始数据包)→ https://npcap.com/(安装时勾选 WinPcap 兼容性)
- WeasyPrint 依赖项 → 安装 MSYS2 + Pango(见下文)
2. **克隆仓库**
git clone https://github.com/hawk1411/PhantomHunt.git
cd PhantomHunt
3. **创建并激活虚拟环境**
python -m venv venv
venv\Scripts\activate # Windows
# source venv/bin/activate # Linux/macOS
4. **安装依赖项**
pip install -r requirements.txt
5. **安装 WeasyPrint 原生依赖项(仅限 Windows)**
安装 MSYS2:https://www.msys2.org/
打开 MSYS2 MinGW 64-bit shell:
pacman -Syu --noconfirm
pacman -S mingw-w64-x86_64-pango --noconfirm```
set WEASYPRINT_DLL_DIRECTORIES=C:\msys64\mingw64\bin
pip install weasyprint
6. **运行工具**
python main.py
7. **使用演示**
PhantomHunt - Stealth Internal Threat Hunter
[1] Silent Discovery
[2] Priv Esc + Credential Dump
[3] Domain Enum + Kerberoasting + Lateral
[4] Generate Full Report
Choose (1-4):
8. **项目结构**
PhantomHunt/
├── main.py # CLI entry point + menu
├── requirements.txt
├── phantomhunt/
│ ├── modules/
│ │ ├── discovery.py # Phase 1: Silent ARP discovery
│ │ ├── phase2.py # Phase 2: Priv esc + credential dump
│ │ ├── phase3.py # Phase 3: Domain + Kerberoast + lateral sim
│ │ └── report.py # Report generation (HTML + PDF)
│ └── resources/
│ └── report_template.html
├── reports/ # Generated reports + template
├── assets.json # Saved discovery data (optional)
└── venv/ # Virtual environment (not committed)
9. **未来改进(计划中)**
- 为 Phase 2 和 Phase 3 的发现添加 JSON 持久化
- 更多权限提升检查(脆弱服务、未加引号的路径、UAC 绕过等)
- 为 Kerberoasting 和横向移动集成真实的 Impacket(仅限实验室)
- 添加规避技术和 C2 模拟
- 提供 Docker 支持以便于实验室部署
10. **许可证**
MIT 许可证 – 见 LICENSE 文件
11. **作者**
Ravi (hawk1411)
毕业季网络安全项目 – 2025–2026
**出于 ❤️ 学习红队技术和威胁狩猎而构建。**
**如果你觉得有用,请点个 Star ⭐!**
标签:Python, Web报告查看器, 内网扫描, 内网攻防, 协议分析, 插件系统, 无后门, 权限提升, 模拟器, 网络安全, 逆向工具, 隐私保护