26zl/cybersec-toolkit

[](https://github.com/26zl/cybersec-toolkit/actions/workflows/ci.yml) [](https://github.com/26zl/cybersec-toolkit/actions/workflows/integration.yml) [](https://github.com/26zl/cybersec-toolkit/actions/workflows/security.yml) [](https://github.com/26zl/cybersec-toolkit/actions/workflows/uv-update.yml) ``` ______ __ _____ / ____/_ __/ /_ ___ _____/ ___/___ _____ / / / / / / __ \/ _ \/ ___/\__ \/ _ \/ ___/ / /___/ /_/ / /_/ / __/ / ___/ / __/ /__ \____/\__, /_.___/\___/_/ /____/\___/\___/ /____/ by 26zl Toolkit ``` __内置 AI 集成的网络安全工具包。__ 嵌入式 [MCP (Model Context Protocol)](https://modelcontextprotocol.io/) 服务器允许任何支持 MCP 的 AI -- Claude Code, Claude Desktop, Cursor -- 查询工具注册表，检查安装状态，为 CTF 类别或漏洞赏金目标推荐合适的工具，并执行它们且强制执行安全策略（参数清理、网络允许列表、速率限制、审计日志）。跳转到 [MCP 服务器 (AI 集成)](#mcp-server-ai-integration)。 捆绑了适用于 Linux 和 Termux (Android) 的模块化安装程序，涵盖 __580+ 工具__、__18 个模块__、__14 个配置文件__ 和 __12 种安装方法__。 ## 安装 所有必需的运行时（Python, Go, Ruby, Java, Rust, Node.js）、开发库、pipx 和构建工具都将自动安装。唯一的先决条件是受支持的 Linux 发行版。不支持 Windows 和 macOS（请使用 WSL 或 Docker）。 ``` git clone https://github.com/26zl/cybersec-toolkit.git && cd cybersec-toolkit && sudo ./install.sh ``` 这将安装所有 580+ 个工具。要安装部分工具： ``` sudo ./install.sh --profile ctf # CTF tools only sudo ./install.sh --profile redteam --enable-docker # Red team + Docker C2 sudo ./install.sh --module web --module recon # Specific modules sudo ./install.sh --tool sqlmap --tool nmap # Individual tools sudo ./install.sh --dry-run --profile ctf # Preview without installing ``` ### 在 Docker 中尝试 ``` docker build -t cybersec-toolkit . docker run cybersec-toolkit --profile ctf ``` __macOS (Apple Silicon):__ 在这两个命令中添加 `--platform linux/amd64` 以通过 x86 模拟运行： ``` docker build --platform linux/amd64 -t cybersec-toolkit . docker run --platform linux/amd64 cybersec-toolkit --profile ctf ``` __Termux (Android，实验性):__ ``` pkg install git git clone https://github.com/26zl/cybersec-toolkit.git cd cybersec-toolkit ./install.sh --profile lightweight ```

所有标志

``` sudo ./install.sh --help # Full help sudo ./install.sh --list-profiles # Show profiles sudo ./install.sh --list-modules # Show modules sudo ./install.sh --skip-heavy # Skip large/slow packages sudo ./install.sh --skip-pipx # Skip all pipx (Python) installs sudo ./install.sh --skip-go # Skip all Go tool installs sudo ./install.sh --skip-cargo # Skip all Cargo (Rust) installs sudo ./install.sh --skip-gems # Skip all Ruby gem installs sudo ./install.sh --skip-git # Skip all git clone installs sudo ./install.sh --skip-binary # Skip all binary release downloads sudo ./install.sh --skip-source # Skip build-from-source, snap, npm, and curl-pipe installs sudo ./install.sh --fast # Skip checksum verification (see Security note below) sudo ./install.sh --require-checksums # Fail if binary release has no checksum file sudo ./install.sh --upgrade-system # Upgrade system packages before installing sudo ./install.sh --list-sessions # List install sessions and exit sudo ./install.sh --rollback # Rollback tools installed in a session sudo ./install.sh --version # Show installer version and exit sudo ./install.sh --enable-docker # Pull Docker images sudo ./install.sh --include-c2 # Include C2 frameworks (needs --enable-docker) sudo ./install.sh -j 8 # 8 parallel install jobs (default: 4) sudo ./install.sh -v # Verbose / debug output ``` `--tool` 仅安装指定的工具，而不运行完整的依赖项设置。 试运行时间估算会计入各种方法中的安装条目，因此估算值可能会高于去重后的 580+ 工具注册表。

为什么完整安装需要 15-45 分钟？

安装程序通过 12 种不同的安装方法统筹安排 580+ 个工具。时间主要花在 I/O 密集型操作上，这是任何脚本语言都无法加速的： | 耗时项目 | 原因 | 典型耗时 | | --- | --- | --- | | 系统软件包 (apt/dnf) | 下载并解压约 150 个 `.deb`/`.rpm` 文件，解析依赖关系 | ~40% | | Cargo (Rust) crates | 从源代码编译 —— Rust 没有预构建的注册中心二进制文件 | ~25% | | Go 工具 | 下载模块并编译约 30 个二进制文件 | ~15% | | pipx (Python) | 创建约 40 个隔离的 venv，下载 wheels | ~10% | | Git 克隆 | 克隆约 30 个代码库 | ~5% | | 二进制发布版 | 从 GitHub 下载约 30 个预构建的二进制文件 | ~4% | | Bash 开销 | 数组迭代、日志记录、进度条 | <0.1% | 安装程序已经尽可能地并行化（默认 `-j 4`）。具有共享锁的方法（apt, pipx, cargo）必须按顺序运行。要减少安装时间： - 使用 `--profile lightweight` 或 `--module ` 仅安装所需内容 - 使用 `--skip-cargo` 跳过 Rust 编译（每个工具最慢的方法） - 增加 `-j 8` 并行度以加快 Go/git/二进制文件的下载速度 - 建立 [apt-cacher-ng](https://wiki.debian.org/AptCacherNg) 代理以便重复安装

## 配置文件 | 配置文件 | 模块 | 描述 | | ------- | ------- | ----------- | | `full` | 所有 18 个 | 完整的安全工具包 | | `ctf` | misc, crypto, pwn, reversing, stego, forensics, cracking, web, mobile, blockchain | CTF 竞赛 | | `redteam` | misc, networking, recon, web, enterprise, pwn, mobile, cracking, cloud, wireless, reversing, crypto | 进攻性安全 | | `web` | misc, networking, recon, web | Web 应用程序测试 | | `osint` | misc, recon | OSINT 收集 | | `forensics` | misc, forensics, blueteam, reversing, stego, cracking | 数字取证和事件响应 | | `pwn` | misc, pwn, reversing, crypto | 二进制利用和逆向工程 | | `mobile` | misc, mobile, web, reversing | 移动应用程序安全测试 | | `cloud` | misc, cloud, containers, networking, recon | 云和容器安全审计 | | `blockchain` | misc, blockchain, web, crypto | 智能合约审计和区块链安全 | | `wireless` | misc, wireless, networking | WiFi, 蓝牙和 SDR 安全 | | `lightweight` | misc, networking, recon, web, cracking | 业余道德黑客必备 (HTB, THM, 漏洞赏金) | | `crackstation` | misc, cracking, crypto | 哈希破解 | | `blueteam` | misc, blueteam, forensics, reversing, mobile, containers, networking, cloud, recon | 防御性安全, 事件响应 (IR), 恶意软件分析 | ## 模块 | 模块 | 工具数 | 描述 | | ------ | ----- | ----------- | | `misc` | 32 | 后渗透、社会工程学、字典表、资源、C2 (Docker) | | `networking` | 54 | 端口扫描、数据包捕获、隧道、中间人攻击 (MITM)、协议工具 | | `recon` | 76 | 子域名枚举、OSINT、DNS、自动化侦察框架 | | `web` | 51 | 漏洞扫描、模糊测试、SQLi、XSS、CMS 扫描器、API 测试 | | `crypto` | 12 | RSA 攻击、密码分析、哈希攻击、约束求解 | | `pwn` | 34 | 漏洞利用框架、二进制利用、模糊测试、payload 生成 | | `reversing` | 31 | 反汇编器、调试器、仿真、Java/Python 逆向 | | `forensics` | 47 | 磁盘/内存取证、文件提取、时间线分析、日志分析、硬件/串口 | | `enterprise` | 76 | Active Directory, Kerberos, Azure AD, 凭证获取、横向移动 | | `wireless` | 39 | WiFi 破解、蓝牙、SDR、恶意 AP | | `cracking` | 28 | 哈希破解 (john, hashcat)、暴力破解、字典生成 | | `stego` | 13 | 图像/音频隐写、检测、StegCracker | | `cloud` | 15 | AWS/Azure/GCP 安全审计、Checkov | | `containers` | 8 | Docker/Kubernetes 安全 (Grype, Syft, Kubescape, kubeaudit) | | `blueteam` | 31 | IDS/IPS, SIEM, 事件响应, 威胁情报, 加固, 恶意软件分析 (YARA, ClamAV, FLOSS, Capa, Loki) | | `mobile` | 12 | Android/iOS 应用程序测试、APK 分析、MobSF (Docker) | | `blockchain` | 12 | 智能合约审计 (Slither, Mythril, Foundry, Aderyn)、区块链取证、Echidna (Docker) | | `llm` | 9 | LLM 红队测试、提示注入、越狱测试、AI 漏洞扫描 | ## 安装方法 | 方法 | 数量 | 示例 | | ------ | ----- | ------- | | Git 克隆 | ~176 | 带有自动设置、资源、字典的 GitHub 仓库 | | 系统软件包 (apt/dnf/pacman/zypper) | ~164 | nmap, wireshark, john, hashcat | | pipx | ~116 | sqlmap, impacket, bloodhound, volatility3 | | Go install | ~53 | nuclei, subfinder, ffuf, httpx | | 二进制发布版 | ~35 | gitleaks, chainsaw, findomain, FLOSS, Capa, Loki, Syft, Kubescape | | 从源代码构建 | ~12 | massdns, duplicut, AFLplusplus, honggfuzz | | Docker | ~9 | Empire, MobSF, BeEF, BloodHound, TheHive, Cortex, PentAGI | | Ruby gem | 6 | wpscan, evil-winrm, brakeman | | Cargo (Rust) | 5 | feroxbuster, RustScan, pwninit, yara-x-cli | | 特殊安装 | 3 | Metasploit, Foundry, Steampipe | | Snap | 1 | zaproxy | | npm | 1 | promptfoo | ## 安装后脚本 所有脚本在 Linux 上需要 root 权限（`sudo`），并支持 `--help`。在 Termux 上，不需要 root 权限。 | 脚本 | 用途 | 示例 | | ------ | ------- | ------- | | `scripts/verify.sh` | 检查已安装的工具 | `sudo ./scripts/verify.sh --module web --skip-heavy` | | `scripts/update.sh` | 更新所有已安装的工具 | `sudo ./scripts/update.sh --skip-system` | | `scripts/remove.sh` | 按模块移除工具 | `sudo ./scripts/remove.sh --module enterprise --yes` | | `scripts/remove.sh --deep-clean` | 清除所有缓存和构建产物 | `sudo ./scripts/remove.sh --deep-clean --yes` | | `scripts/backup.sh` | 备份/恢复工具配置 | `sudo ./scripts/backup.sh backup` | `--deep-clean` 会移除 Go module/构建缓存、Cargo 注册表、pip/pipx/npm/gem 缓存、孤立的 pipx venv、失效的软链接以及日志文件。添加 `--remove-deps` 还会清除 Rustup 工具链。 ## MCP 服务器 (AI 集成) [MCP (Model Context Protocol)](https://modelcontextprotocol.io/) 是一个开放标准，允许 AI 助手使用外部工具。本项目包含一个 MCP 服务器，它赋予任何支持 MCP 的 AI（Claude Code, Claude Desktop, Cursor 等）对 580+ 工具注册表的完整读取权限——以及检查安装状态、推荐配置文件和执行工具的能力。该 AI 成为道德黑客攻击的交互式伙伴：它了解每一个工具、你安装了哪些，并可以为你运行它们。 ### AI 可以做什么 | 工具 | 作用 | | ---- | ------------ | | `list_tools` | 列出/筛选所有 580+ 个工具（可按模块、方法或安装状态过滤，包含 URL） | | `check_installed` | 检查某个工具是否已安装（5 种检测策略） | | `get_tool_info` | 完整详情：方法、模块、URL、安装/更新/移除命令 | | `get_module_info` | 深入了解模块：所有工具、安装状态、哪些配置文件使用它 | | `get_profile_tools` | 查看某个配置文件安装的所有工具，按模块分组 | | `suggest_for_ctf` | 针对 13 个 CTF 挑战类别的精选工具推荐 | | `suggest_for_bounty` | 针对 6 种目标类型的漏洞赏金工具推荐，包含方法和常见漏洞 | | `recommend_install` | 自然语言 → 配置文件/模块/工具推荐 | | `list_profiles` | 所有 14 个配置文件及其工具数量和安装命令 | | `run_tool` | 安全地执行已安装的工具（参数清理、网络策略、速率限制、审计日志）。支持通过 SSH 远程执行 | | `run_pipeline` | 在不使用 shell 的情况下安全地将工具通过管道连接在一起（`strings binary \| grep flag`） | | `run_script` | 编写并执行 Python/Bash 脚本（pwntools, z3, requests, crypto）。支持针对特定脚本选择 venv | | `manage_remote_hosts` | 添加、移除、列出和测试用于远程工具执行的 SSH 远程主机 | ### 快速开始 需要 [uv](https://docs.astral.sh/uv/)。添加到项目根目录的 `.mcp.json` 中： ``` { "mcpServers": { "cybersec-tools": { "command": "uv", "args": ["run", "--directory", "mcp_server", "fastmcp", "run", "server.py"] } } } ``` 重启 Claude Code。这 13 个工具将出现在 `/mcp` 中。 ### 从 WSL 连接（例如 Kali Linux） MCP 服务器通过 stdio 运行，因此它可以在任何 Claude Code 能够环境中工作。要使用安装在 WSL 内部的工具： ``` { "mcpServers": { "cybersec-tools": { "command": "wsl", "args": [ "-d", "kali-linux", "bash", "-lc", "cd /path/to/cybersec-toolkit/mcp_server && uv run fastmcp run server.py" ] } } } ``` ### 从 Docker 连接 ``` { "mcpServers": { "cybersec-tools": { "command": "docker", "args": [ "run", "-i", "--rm", "cybersec-toolkit", "bash", "-c", "cd /opt/cybersec-toolkit/mcp_server && uv run fastmcp run server.py" ] } } } ``` ### 使用示例 连接后，只需自然地与 AI 交流： - __"进行 Web CTF 我需要哪些工具？"__ -- 推荐顶级工具及安装状态 - __"CTF 配置文件安装了什么？"__ -- 按模块分组列出所有 272 个工具 - __"告诉我关于 Web 模块的信息"__ -- 51 个工具，方法细分，包含该模块的配置文件 - __"如何安装 sqlmap？"__ -- 针对正确模块的安装/更新/移除命令 - __"我想进行漏洞赏金狩猎"__ -- 推荐 `web` 配置文件 - __"安装了 nmap 吗？"__ -- 多策略检测（PATH, .versions, pipx, /opt, docker） - __"运行 nmap --version"__ -- 执行并捕获输出，强制执行网络策略 - __"在我的 Kali 虚拟机上运行 nmap"__ -- 通过 SSH 远程执行，带有每台主机专属的工具允许列表 - __"为这个二进制文件编写一个 pwntools 漏洞利用"__ -- 编写并运行带有 `venv="pwntools"` 的脚本 - __"从这个 PNG 中提取隐藏数据"__ -- 管道执行 `strings`, `xxd`, `binwalk` + 自定义脚本 ### 脚本执行 `run_script` 允许 AI 编写并执行 Python 或 Bash 脚本。需要 `CYBERSEC_MCP_ALLOW_SCRIPTS=1`： ``` { "mcpServers": { "cybersec-tools": { "command": "uv", "args": ["run", "--directory", "mcp_server", "fastmcp", "run", "server.py"], "env": { "CYBERSEC_MCP_ALLOW_SCRIPTS": "1", "CYBERSEC_MCP_ALLOW_EXTERNAL": "1" } } } } ``` #### Venv 支持 某些包（例如 pwntools）需要较旧的 Python。`venv` 参数允许 AI 为每个脚本选择正确的解释器： ``` # 一次性设置：创建一个包含 pwntools 的 venv python3.12 -m venv ~/.ctf-venvs/pwntools ~/.ctf-venvs/pwntools/bin/pip install pwntools z3-solver ``` 然后 AI 会自动使用 `run_script("from pwn import *; ...", venv="pwntools")`。只需要标准库或服务器包（requests, pycryptodome, beautifulsoup4）的脚本可以在不使用 `venv` 的情况下运行。设置 `CYBERSEC_MCP_VENVS_DIR` 可覆盖默认的 `~/.ctf-venvs/` 位置。 ### 手动脚本 `manual_scripts/` 目录用于存储持久化脚本——复杂的漏洞利用、多步骤求解器以及不应在执行后消失的可重用工具。当 AI 认为脚本值得保留时，会将它们写在这里。 ### 测试服务器 ``` cd mcp_server && uv run fastmcp dev server.py ``` 这将打开一个基于 Web 的 MCP Inspector，用于交互式地测试每个工具。 有关 Claude Desktop 设置和完整文档，请参阅 [`mcp_server/README.md`](mcp_server/README.md)。 ## 开发 公开的贡献者文档位于 [`CONTRIBUTING.md`](CONTRIBUTING.md)。快速入门如下： ``` git submodule update --init --recursive shellcheck --severity=warning install.sh lib/*.sh modules/*.sh scripts/*.sh bash -n install.sh lib/*.sh modules/*.sh scripts/*.sh python3 scripts/validate_tools_config.py python3 scripts/validate_mcp_sync.py python3 scripts/validate_distro_compat.py ./tests/bats/bin/bats tests/*.bats cd mcp_server && uv sync --group dev && uv run ruff check . && uv run ruff format --check . && uv run pytest tests/ -q ``` 在 Linux 或 WSL 上运行 shell 测试。原生 Windows 检出可能会使用 CRLF 重写内嵌的 Bats 子模块，从而导致 `$'\r'` 错误。 ## 工具位置 非系统工具（pipx, Go, Cargo, git, 二进制发布版）在 Linux 上安装到 `/usr/local/bin/`，在 Termux 上安装到 `$PREFIX/bin`。系统软件包会安装到其默认位置（`/usr/bin/`）。 | 方法 | 二进制位置 | 二进制位置 | 数据位置 | | ------ | ----------------------- | ------------------------ | ------------- | | pipx | `/usr/local/bin/` | `$PREFIX/bin/` | `/opt/pipx/` 或 `~/.local/pipx/` | | Go | `/usr/local/bin/` | `$PREFIX/bin/` | `/opt/go/` 或 `~/.go/` | | Cargo | `/usr/local/bin/` (软链接) | `$PREFIX/bin/` (软链接) | `~/.cargo/` | | Git 仓库 | `/usr/local/bin/` (软链接) | `$PREFIX/bin/` (软链接) | `/opt//` 或 `~/tools//` | | 二进制发布版 | `/usr/local/bin/` | 已跳过 (glibc 与 Bionic 不兼容) | -- | ## Docker 镜像（可选） 仅在 `--enable-docker` 时使用。如果未安装 Docker 且设置了 `--enable-docker`，安装程序将退出并提示错误，要求你先安装 Docker。 | 镜像 | 模块 | 标志 | 描述 | | ----- | ------ | ---- | ----------- | | `bcsecurity/empire` | misc | `--enable-docker --include-c2` | Empire C2 | | `spiderfoot/spiderfoot` | misc | `--enable-docker` | SpiderFoot OSINT | | `beefproject/beef` | web | `--enable-docker` | BeEF 浏览器漏洞利用 | | `opensecurity/mobile-security-framework-mobsf` | mobile | `--enable-docker` | MobSF | | `specterops/bloodhound` | enterprise | `--enable-docker` | BloodHound CE | | `trailofbits/echidna` | blockchain | `--enable-docker` | Echidna 智能合约模糊测试器 | | `strangebee/thehive:latest` | blueteam | `--enable-docker` | TheHive IR 平台 | | `thehiveproject/cortex:latest` | blueteam | `--enable-docker` | Cortex 分析 | | `vxcontrol/pentagi:latest` | llm | `--enable-docker` | PentAGI 自主渗透测试 | ## 发行版支持 __Debian/Ubuntu/Kali 是主要目标__ —— 那里提供完整的 580+ 注册表，并且拥有最强的测试覆盖率。Fedora/Arch/openSUSE 大约有 10-20 个包会被自动跳过（特定于发行版的）并由集成工作流覆盖。WSL 和 ARM 在实践中受支持，但它们还没有专门的 CI 作业。Windows 和 macOS 会被检测到并被阻止，并附带清晰的错误消息。 | 平台 | 状态 | | -------- | ------ | | __WSL__ | 支持安装和 MCP 使用。无线模块自动跳过（无法访问硬件）并过滤内核级软件包。请在本地 WSL 发行版中验证关键版本的更改，因为目前还没有专门的 CI 作业。 | | __ARM__ (aarch64/armv7) | 支持，会自动跳过仅限 x86 的二进制发布版和从源代码构建的工具。尚无专门的 CI 作业。 | | __Termux__ (Android) | 实验性。正在开发中，不受 CI 覆盖，尚未在物理设备上进行广泛测试。不需要 sudo。Docker/snap/二进制发布版/从源代码构建已被跳过（与 Bionic 不兼容）。 | | __Windows__ (原生) | 不支持。请使用 WSL。 | | __macOS__ | 不支持。请使用 Docker 容器。 | ## 供应链模型 此安装程序从互联网下载并运行代码。在 Linux 上它以 root 身份运行（`sudo`）；在 Termux 上它在应用程序的用户沙箱中运行（无 root 权限）。 - __系统软件包__: 由你发行版的软件仓库进行 GPG 签名（apt, dnf, pacman, zypper, pkg） - __pipx/Go/Cargo/Gem/npm__: 从注册中心下载（无签名验证，pipx 隔离在 venv 中） - __二进制发布版__: 在有校验和文件时进行 SHA256 验证，不匹配时直接报错中断。使用 `--require-checksums` 可在没有发布校验和文件时也报错中断。__警告:__ `--fast` 会禁用_所有_校验和验证，包括对于确实发布了校验和的版本——请不要在生产或 CI 环境中使用 - __Go SDK__: 在可用时根据 go.dev 发布的哈希值进行 SHA256 验证；API 失败时发出警告，使用 `--require-checksums` 时直接硬性失败 - __Git 仓库__: 在 HEAD 处克隆，依赖安装在隔离的 venv 中（不执行 setup.py） - __从源代码构建__: 运行 `make`（在 Linux 上以 root 身份）——请审查你正在构建的内容 `.versions` 文件记录了安装了什么以及何时安装的。 ## 已知限制 默认情况下，校验和验证是尽力而为的。某些上游版本不发布校验和或签名，因此在没有加密验证的情况下，下载可能会继续进行。在没有校验和文件可用时，使用 `--require-checksums` 以在无校验和时直接失败。当 API 可达时，Go SDK 下载会根据 go.dev 进行 SHA256 验证；使用 `--require-checksums` 在 API 不可达时直接硬性失败。 `--fast` 会跳过二进制发布版的__所有__校验和验证（包括 SHA256 检查和缺失校验和警告），包含那些_确实_发布了校验和的版本。这是以牺牲完整性验证来换取速度。它与 `--require-checksums` 互斥。请勿在 CI 流水管道或供应链完整性至关重要的环境中使用 `--fast`。 ## 许可证 MIT 许可证 —— 详情请参阅 [LICENSE](LICENSE)。 有关贡献工作流程和审查期望，请参阅 [`CONTRIBUTING.md`](CONTRIBUTING.md)。 有关漏洞报告，请参阅 [`SECURITY.md`](SECURITY.md)。 ## 免责声明 仅供教育和授权安全测试使用。请仅在你拥有或有明确书面许可进行测试的系统上使用。

标签：AD攻击面, AI辅助黑客, AI集成安全, Bash安装脚本, Blue Team, CISA项目, CTF工具, DevSecOps, GitHub, Go语言安全, IP 地址批量处理, Linux安全工具, MCP服务器, MITM代理, Termux, 上游代理, 可视化界面, 子域名枚举, 安全工具集, 实时处理, 密码管理, 应用安全, 开源安全工具, 日志审计, 模块化工具, 模型上下文协议, 漏洞搜索, 白帽黑客, 系统安全, 结构化查询, 网络安全工具包, 网络安全框架, 自动化安全, 自动化安装, 请求拦截, 逆向工具, 逆向工程平台