deena-root-user/lucifer2.0

# Bughunter Pro Bughunter Pro 是一款使用 Python 和 Flask 构建的先进异步 Web 漏洞扫描器。它提供了一个实时 Web 仪表盘，用于监控扫描、枚举子域名、抓取网页以及检测多种安全漏洞。它还集成了 Ollama，用于生成基于 AI 的执行报告。 ## 功能特性 - **异步扫描**：使用 `asyncio` 和 `httpx` 实现高性能扫描。 - **子域名枚举**：在抓取之前发现子域名。 - **深度 Web 抓取**：提取链接、表单以及 JavaScript/JSON 文件以供分析。 - **全面漏洞检测**： - SQL 注入 (SQLi) - 跨站脚本攻击 (XSS) - 不安全的直接对象引用 (IDOR) - 路径遍历与本地文件包含 (LFI) - 服务端请求伪造 (SSRF) - 远程代码执行 (RCE) 与 CRLF 注入 - 开放重定向与不安全的 CORS - Host 头注入与点击劫持 - HTTP 参数污染 (HPP) - 反序列化漏洞 - 已知 CVE（例如 Log4Shell） - 弱认证（Basic、Digest、POST 暴力破解） - Web 应用防火墙 (WAF) 检测 - 跨站请求伪造 (CSRF) - 信息泄露（JS 机密信息、暴露的 `.git/config`） - 通过外部 `sstimap` 进行服务端模板注入 (SSTI) - **AI 驱动的报告**：集成本地 Ollama (`qwen2.5-coder:14b`) 以生成专业的执行摘要和风险评估。 - **实时仪表盘**：在简洁的 Web UI 上监控进度，查看发现的 URL、子域名和漏洞。 ## 前置条件 - **Python 3.8+** - **Ollama**（可选，但 AI 报告功能需要。必须拉取 `qwen2.5-coder:14b` 模型：`ollama pull qwen2.5-coder:14b`） - **sstimap**（可选，SSTI 检测需要。确保它在你的 PATH 中或已作为模块安装）。 ## 安装说明 1. 将仓库克隆或下载到本地计算机。 2. 导航到项目目录： cd bughunter-pro/oldtester 3. 安装所需的依赖项： pip install -r requirements.txt *如果你想使用 playwright 功能，根据你的环境配置，可能需要运行 `playwright install`。* ## 运行应用程序 1. 启动 Flask 服务器： python app.py 2. 打开 Web 浏览器并访问： http://127.0.0.1:5000/ *（如果在远程服务器/虚拟机上运行，请使用该机器的 IP）* ## 工作原理 1. **初始化**：当你通过 Web 仪表盘启动扫描时，应用程序会初始化一个异步扫描后台线程。 2. **子域名枚举与抓取**：它首先尝试解析并收集子域名。然后，它抓取目标域名和发现的子域名，以收集 URL、表单和 JavaScript 文件。 3. **漏洞扫描**：收集到的 URL 被分批处理。对于每个 URL，应用程序运行一系列专门的测试模块（例如 `test_sqli`、`test_xss`、`test_cve`）。这些模块注入特定的 payload 并分析 HTTP 响应（状态码、响应时间、正文内容）以识别漏洞。 4. **实时更新**：随着扫描的进行，后端会更新一个全局状态对象。Web 仪表盘定期轮询 `/scan_update` 以显示新的漏洞、日志和进度条。 5. **报告**：扫描完成后的任何时间，你都可以生成 AI 执行摘要。应用程序将发现结果发送到你本地的 Ollama 实例，以起草专业的报告。 ## 目录结构 - `app.py`：主应用程序文件，包含 Flask 服务器、爬虫和所有漏洞测试模块。 - `requirements.txt`：运行扫描器所需的 Python 依赖项。 - `templates/index.html`：实时 Web UI 仪表盘。 - `reports/`（自动生成）：自动生成的目录，用于在扫描期间保存批量扫描结果（JSON/TXT）和下载的 JS 文件。 - `log.txt`：包含应用程序运行的历史日志数据。

标签：AI风险缓解, BeEF, Bug Bounty, CISA项目, Claude, CSRF, CVE检测, Flask, httpx, IDOR, LFI, LLM评估, Ollama, PE 加载器, Python, RCE, SSRF, SSTI, Web安全, XSS, 人工智能, 信息泄露, 加密, 可自定义解析器, 子域名枚举, 安全报告, 对称加密, 异步编程, 无后门, 漏洞情报, 漏洞扫描器, 爬虫, 特征检测, 用户模式Hook绕过, 系统安全, 编程工具, 网络安全, 自动化审计, 蓝队分析, 计算机取证, 运行时操纵, 远程代码执行, 逆向工具, 隐私保护