R3coNYT/Centralized

# 集中式 **用于集中管理渗透测试审计的 Web 平台** —— 上传扫描文件，检测 CVE，可视化发现结果。 ## 功能特性 - 具有基于角色访问控制的 **登录系统**（Admin / Analyst） - 带有实时图表的 **仪表盘**：严重程度分布、热门服务、月度审计趋势 - **客户与审计管理** —— 按客户组织项目，跟踪状态和范围 - **文件上传与自动解析** 支持： - Nmap XML (`-oX`) 和 AutoRecon Nmap JSON - AutoRecon 完整 `report.json` - HTTPX JSON 输出 - Nuclei JSON / JSONL 输出 - Nikto XML 和 JSON 输出 - PDF 审计报告 (AutoRecon + 通用) —— 通过文本分析提取 CVE、IP、端口 - 从上传文件中 **检测 CVE** + 通过 [NVD API v2](https://nvd.nist.gov/developers/vulnerabilities) 按需查询/关键词搜索 - **NVD 富化** —— 可选在上传期间为每个发现的服务/版本自动查询 NVD - **主机详情视图** —— 开放端口、HTTP 页面、漏洞、TLS 信息 - **手动发现** —— 添加分析人员备注，包含严重程度、状态、证据、建议 - **CVE 弹窗** —— 点击任意 CVE ID 即可从 NVD 获取 CVSS 评分、描述和参考链接 ## 安装说明 Centralized 为每个受支持的操作系统提供了开箱即用的安装脚本。 这些脚本会克隆仓库，创建 Python 虚拟环境并自动安装所有依赖项。 ### Linux ``` # 克隆 repo 并运行 installer (需要 sudo) git clone https://github.com/R3coNYT/Centralized.git /tmp/centralized-install bash /tmp/centralized-install/Centralized.sh ``` - 安装到 **`/opt/centralized`** - 在 `/usr/local/bin/` 创建全局命令 **`centralized`** - 可选注册 **systemd** 服务 (`centralized.service`) **启动应用：** ``` centralized # 或作为 service 运行： sudo systemctl start centralized ``` ### macOS ``` # 需要 Homebrew (https://brew.sh) git clone https://github.com/R3coNYT/Centralized.git /tmp/centralized-install bash /tmp/centralized-install/Centralized.sh ``` - 安装到 **`~/Tools/Centralized`** - 在 `~/.local/bin/` 创建全局命令 **`centralized`** **启动应用：** ``` centralized ``` ### Windows ``` # 从 PowerShell 运行 (以 regular user 身份，无需 admin) Set-ExecutionPolicy Bypass -Scope Process -Force irm https://raw.githubusercontent.com/R3coNYT/Centralized/main/Centralized.ps1 | iex ``` - 安装到 **`C:\Tools\Centralized`** - 创建两个启动器： - `C:\Tools\Centralized\centralized.bat` —— 双击即可运行 - `C:\Tools\Centralized\centralized.ps1` —— PowerShell 启动器 **启动应用：** ``` C:\Tools\Centralized\centralized.bat ``` ### 前置条件摘要 | | Linux | macOS | Windows | |---|---|---|---| | Python 3.10+ | via `apt` (auto) | via Homebrew (auto) | manual install | | Git | via `apt` (auto) | via Homebrew (auto) | manual install | | Homebrew | — | required | — | ### 手动安装 (任意操作系统) ``` git clone https://github.com/R3coNYT/Centralized.git cd Centralized python3 -m venv venv source venv/bin/activate # Windows: venv\Scripts\activate pip install -r requirements.txt python app.py ``` ## 更新 Centralized 附带更新脚本，可从 GitHub 拉取最新代码，**且不会影响您现有的数据**（客户、审计、上传的文件、数据库）。 在每次更新之前，脚本会创建带有时间戳的备份，包含： - `centralized.db` —— 您的所有客户、审计、主机和漏洞 - `uploads/` —— 所有上传的扫描文件 - `.env` —— 任何本地配置覆盖 ### 更新 — Linux / macOS ``` cd /opt/centralized # or ~/Tools/Centralized on macOS bash update.sh ``` 如果脚本位于安装目录中，也可以从任何位置运行： ``` bash /opt/centralized/update.sh ``` ### 更新 — Windows ``` cd C:\Tools\Centralized .\update.ps1 ``` ### 更新脚本执行流程 | 步骤 | 动作 | |---|---| | 1 | 自动定位安装目录 | | 2 | 创建带时间戳的备份 → `backups/YYYYMMDD_HHMMSS/` | | 3 | `git fetch` + `git reset --hard origin/main` —— 拉取最新代码 | | 4 | `pip install -r requirements.txt --upgrade` —— 更新依赖 | | 5 | `db.create_all()` —— 应用新的数据库表 | | 6 | 清理旧备份（保留最近 5 个） | ### 首次登录 应用启动于 **http://127.0.0.1:5000** | 字段 | 值 | |----------|---------| | Username | `admin` | | Password | `admin` | ## 配置 编辑 `config.py` 或设置环境变量： | 变量 | 默认值 | 描述 | |-----------------|----------------------------|--------------------------------------| | `SECRET_KEY` | (change me) | Flask 会话密钥 —— **生产环境中必须修改** | | `DATABASE_URL` | `sqlite:///centralized.db` | SQLAlchemy DB URI | | `NVD_API_KEY` | *(empty)* | NVD API key —— 将速率限制从 5 req/30s 提升至 50 req/30s | | `UPLOAD_FOLDER` | `./uploads/` | 上传文件的存储位置 | ## 支持的文件格式 | 格式 | 检测方式 | 提取的数据 | |--------|-----------|----------------| | Nmap XML (`-oX`) | `/stats` | 某个审计的 JSON 统计数据 | | GET | `/api/dashboard/stats` | 全局仪表盘统计数据 | ## 安全说明 - 所有表单均使用 CSRF 保护 (Flask-WTF) - 密码使用 `werkzeug.security` 进行哈希处理 (PBKDF2-SHA256) - 文件上传通过扩展名和内容检查进行验证 - 登录处的开放重定向保护 - Session cookies：`HttpOnly`，`SameSite=Lax` - **生产环境建议**：更改 `SECRET_KEY`，使用 HTTPS，考虑使用 PostgreSQL 代替 SQLite

标签：AutoRecon, Claude, CVE检测, CVSS评分, Google, GPT, Nikto, Nmap, Nuclei, NVD API, Python, 占用监测, 后端开发, 安全仪表盘, 安全运营, 审计平台, 扫描框架, 数据统计, 无后门, 混合加密, 漏洞管理, 端口扫描, 网络安全, 自动化解析, 蓝队防御, 虚拟驱动器, 资产管理, 逆向工具, 隐私保护