bankai-max-wow/pentest-autopilot-mcps
GitHub: bankai-max-wow/pentest-autopilot-mcps
一套基于 MCP 协议的自动化渗透测试服务器集合,解决多场景安全测试的统一编排与执行问题。
Stars: 0 | Forks: 0
# Pentest Autopilot MCP 服务器
面向自动化渗透测试的专业级模型上下文协议(MCP)服务器。
## 🔥 服务器
- **[mcp-sqli](./mcp-servers/mcp-sqli)** - SQL 注入(150+ 载荷,WAF 绕过,盲注提取)
- **[mcp-exploit](./mcp-servers/mcp-exploit)** - RCE 与利用(SSTI、Shell、反序列化)
- **[mcp-auth](./mcp-servers/mcp-auth)** - 身份验证测试(JWT、OAuth、OTP 绕过)
- **[mcp-recon](./mcp-servers/mcp-recon)** - 侦察与 OSINT(子域名、技术指纹)
## 🚀 快速开始
```
# 克隆仓库
git clone https://github.com/YOUR_USERNAME/pentest-autopilot-mcps.git
cd pentest-autopilot-mcps
# 安装所有服务器
cd mcp-servers/mcp-sqli && npm install && cd ../..
cd mcp-servers/mcp-exploit && npm install && cd ../..
cd mcp-servers/mcp-auth && npm install && cd ../..
cd mcp-servers/mcp-recon && npm install && cd ../..
```
## ⚙️ 配置
添加到你的 MCP 设置(例如 `cline_mcp_settings.json` 或 Claude Desktop 配置):
```
{
"mcpServers": {
"sqli": {
"command": "node",
"args": ["/absolute/path/to/mcp-servers/mcp-sqli/index.js"]
},
"exploit": {
"command": "node",
"args": ["/absolute/path/to/mcp-servers/mcp-exploit/index.js"]
},
"auth": {
"command": "node",
"args": ["/absolute/path/to/mcp-servers/mcp-auth/index.js"]
},
"recon": {
"command": "node",
"args": ["/absolute/path/to/mcp-servers/mcp-recon/index.js"]
}
}
}
```
## 📖 文档
- **[mcp-servers/README.md](./mcp-servers/README.md)** - 完整文档
- **[GITHUB_SETUP.md](./GITHUB_SETUP.md)** - 部署指南
- **[MCP_INTEGRATION_GUIDE.md](./MCP_INTEGRATION_GUIDE.md)** - 与代理集成
- **[PROJECT_SUMMARY.md](./PROJECT_SUMMARY.md)** - 项目概述
## 📊 统计
- **4 个 MCP 服务器**:SQLi、Exploit、Auth、Recon
- **27 个工具**:自动化测试能力
- **500+ 载荷**:SQL 注入、RCE、身份验证攻击
- **生产就绪**:错误处理、验证、完整文档
## 🎯 功能
### mcp-sqli
- MySQL、PostgreSQL、MSSQL、Oracle、SQLite、NoSQL 载荷
- WAF 绕过引擎(6 种技术)
- 盲 SQL 注入探测
- 自动化端点测试
- SQLMap 集成
### mcp-exploit
- 10 种模板引擎的 SSTI
- 命令注入(Unix 与 Windows)
- 反向 Shell 生成器(7 种语言)
- 反序列化工具包
- 文件上传绕过
- XXE 载荷
### mcp-auth
- JWT 攻击(alg:none、暴力破解、篡改)
- OAuth/SSO 绕过
- OTP/2FA 绕过(10 种技术)
- 会话攻击
- 密码重置漏洞
### mcp-recon
- 子域名枚举(crt.sh + DNS 暴力)
- 技术指纹识别(30+ 签名)
- API 发现(50+ 路径)
- Google Dorks 生成
- Wayback Machine 集成
## ⚠️ 法律声明
**仅供教育和授权测试使用。**
这些工具设计用于:
- 授权渗透测试
- 安全研究
- 漏洞赏金计划
- CTF 比赛
**不得**在未经明确许可的情况下对系统使用。
## 📝 许可证
MIT - 请参阅 LICENSE 文件。
**为 Pentest Autopilot 系统构建** 🚀
标签:CMS安全, ESC4, GNU通用公共许可证, JavaScript, JWT, MCP服务器, MITM代理, Node.js, npm, OAuth, OSINT, OTP, Payload, RCE, SQLi, SSTI, WAF绕过, Web安全, 代码执行, 会话劫持, 反序列化, 威胁模拟, 子域名枚举, 安全测试, 攻击性安全, 攻击模拟, 数据可视化, 数据展示, 数据库注入, 盲注, 系统安全, 红队, 自动化渗透, 自定义脚本, 蓝队分析, 认证绕过, 身份验证测试, 驱动签名利用