Tonaco97/tonaco-cyber

# TONACO 脚本 (TNS) ## 面向Web自动化与网络安全的编程语言 **版本:** 1.0 **创建者:** Guilherme Lucas Tonaco Carvalho **平台:** TONACO CYBER **年份:** 2026 ## 项目概述 TONACO SCRIPT 是一种完全使用纯 Java 开发的原创编程语言。与其他工具不同，该语言是从零开始创建的，不依赖任何复杂的外部框架或库，唯一例外是用于 JSON 处理的 Gson。 该语言设计用于自动化 Web 侦察任务、在服务器中搜索文件、进行安全分析以及与 GitHub 集成。 ## 主要特性 - 自动搜索目标网站上的文件 - 递归扫描链接和子目录 - 敏感内容检测（密码、令牌、密钥） - 分析 HTTP 安全头部信息 - 与 GitHub API 集成 - 生成 JSON 和 HTML 格式的报告 - 支持具有自身语法的脚本 - 支持控制台模式或通过 .tns 文件执行 ## 项目结构 ``` tonaco-cyber/ ├── TonacoScriptInterpreter.java # Interpretador e maquina virtual da linguagem ├── script.tns # Arquivo de exemplo com comandos TNS ├── config.tns # Configuracoes padrao da linguagem └── README.md # Documentacao completa ``` ## 运行要求 - Java 开发工具包 17 或更高版本 - Gson 库 2.10.1（唯一的外部依赖） ## 安装与配置 ### 步骤 1：检查 Java 版本 ``` java -version ``` 返回结果应显示 Java 17 或更高版本。 ### 步骤 2：下载 Gson 库 ``` wget https://repo1.maven.org/maven2/com/google/code/gson/gson/2.10.1/gson-2.10.1.jar ``` 如果没有 wget 可用，请通过浏览器在上述地址手动下载。 ### 步骤 3：编译解释器 ``` javac -cp "gson-2.10.1.jar:." TonacoScriptInterpreter.java ``` 对于 Windows 系统，请使用分号作为分隔符： ``` javac -cp "gson-2.10.1.jar;." TonacoScriptInterpreter.java ``` ### 步骤 4：执行 ``` java -cp "gson-2.10.1.jar:." TonacoScriptInterpreter ``` ## 运行模式 ### 模式 1：运行 TNS 脚本 ``` java -cp "gson-2.10.1.jar:." TonacoScriptInterpreter script.tns ``` ### 模式 2：在网站上搜索文件 ``` java -cp "gson-2.10.1.jar:." TonacoScriptInterpreter --auto-buscar https://exemplo.com.br ``` ### 模式 3：集成 GitHub 仓库 ``` java -cp "gson-2.10.1.jar:." TonacoScriptInterpreter --github https://github.com/usuario/repositorio ``` ## TNS 语言语法 TNS 语言使用葡萄牙语命令，结构简单。 ### ESCREVER 命令 在控制台显示文本。 ``` escrever "Texto a ser exibido" ``` ### VARIAVEL 命令 声明一个带有值的变量。 ``` variavel nome = "Guilherme" variavel idade = 28 variavel ativo = verdadeiro ``` ### IMPRIMIR 命令 显示变量的值。 ``` imprimir nome ``` ### BUSCAR 命令 启动目标网站的文件扫描器。 ``` buscar https://exemplo.com.br ``` ### SCANEAR 命令 递归搜索链接至指定深度。 ``` scanear https://exemplo.com.br --profundidade 3 ``` ### BAIXAR 命令 下载远程文件。 ``` baixar https://exemplo.com.br/arquivo.zip ./downloads/ ``` ### ANALISAR 命令 检查安全头部和服务器信息。 ``` analisar https://exemplo.com.br ``` ### GITHUB 命令 列出 GitHub 公共仓库中的文件。 ``` github https://github.com/usuario/repositorio ``` ### RELATORIO 命令 生成执行报告。 ``` relatorio json relatorio html ``` ## 完整脚本示例 创建一个扩展名为 .tns 的文件，内容如下： ``` escrever "Iniciando TONACO SCRIPT" variavel alvo = "https://exemplo.com.br" variavel profundidade = 2 escrever "Alvo definido: " + alvo buscar alvo scanear alvo --profundidade 2 analisar alvo escrever "Finalizando execucao" relatorio html ``` 执行命令： ``` java -cp "gson-2.10.1.jar:." TonacoScriptInterpreter meu_script.tns ``` ## 文件扫描器工作原理 当执行 BUSCAR 命令时，解释器将执行以下操作： 1. 连接到指定域名 2. 测试目录和扩展名的组合 3. 识别现有文件（HTTP 200） 4. 检查内容是否包含敏感词 5. 递归搜索主页中的链接 6. 生成包含所有发现的报告 ### 检查的扩展名 .php, .jsp, .asp, .aspx, .html, .htm, .js, .css, .xml, .json, .txt, .log, .sql, .bak, .zip, .tar, .gz, .java, .py, .rb, .go, .c, .cpp, .class, .jar, .war, .ear, .properties, .yml, .yaml, .md ### 检查的目录 /, /admin, /backup, /temp, /logs, /config, /WEB-INF, /api, /v1, /old, /download, /files, /uploads, /images, /css, /js, /lib, /include, /inc ### 检测的敏感词 password, secret, key, token, api_key, database, db, backup, dump, credential, private, auth, login ## 输出示例 ``` TONACO SCANNER - Buscando arquivos em: https://exemplo.com.br ---------------------------------------------------------------- https://exemplo.com.br/index.php (HTTP 200) https://exemplo.com.br/admin/config.php (HTTP 200) - CONTEUDO SENSIVEL DETECTADO https://exemplo.com.br/backup/database.sql (HTTP 200) https://exemplo.com.br/api/v1/users (HTTP 200) Total de arquivos encontrados: 4 Total de links encontrados: 12 Relatorio salvo em: scan_1702684800000.json Relatorio HTML gerado: relatorio_1702684800000.html ``` ## JSON 报告结构 ``` { "url_alvo": "https://exemplo.com.br", "data_scan": "2026-01-15T10:30:00", "total_arquivos": 4, "total_links": 12, "arquivos": [ { "url": "https://exemplo.com.br/index.php", "status": 200, "tamanho": 15234 }, { "url": "https://exemplo.com.br/admin/config.php", "status": 200, "sensivel": true, "palavra_encontrada": "password" } ] } ``` ## 配置文件 (config.tns) config.tns 文件允许自定义语言行为： ``` config timeout = 5000 config max_threads = 20 config user_agent = "TONACO-SCRIPT/1.0" extensoes = [".php", ".jsp", ".html", ".js", ".css"] diretorios = ["", "/admin", "/backup", "/api"] palavras_sensiveis = ["password", "secret", "token", "key"] ``` ## 已知限制 1. 扫描器依赖于目标服务器的 HTTP 响应 2. 具有 User-Agent 封锁的网站可能无法响应 3. 执行时间随扫描深度增加而增加 4. 变量状态在每次执行时重置 5. 不支持原生数据库功能 ## 法律与道德考量 本工具专为教育目的和经授权的安全测试而开发。 在未获得系统所有者明确授权的情况下使用 TONACO SCRIPT 可能违反当地和国际法律。 创建者对工具的滥用不承担任何责任。 在对第三方系统进行任何安全测试前，请务必获得书面授权。 ## 版本历史 **版本 1.0 (2026)** - 语言首次发布 - 基础文件扫描器 - 支持 .tns 脚本 - GitHub API 集成 - 生成 JSON 和 HTML 报告 ## 联系与支持 **创建者:** Guilherme Lucas Tonaco Carvalho **平台:** TONACO CYBER ## 许可证 MIT 许可证 版权所有 (c) 2026 Guilherme Lucas Tonaco Carvalho 特此免费授予任何获得本软件及相关文档文件副本的人不受限制地处理本软件的许可。 ## 致谢 每日分享知识的信息安全社区。 维持 Java 生态系统活力的开源软件开发者们。 ## 分享 如果本项目对您的学习有所帮助，请考虑与该领域的其他专业人士分享。 **TONACO SCRIPT** 一种从零开始创建、用于解决现实世界自动化和安全问题的语言。

标签：C++17, GitHub集成, Gson库, HTML报告, HTTP头分析, Java开发, JSON报告, JS文件枚举, Web安全, Web爬虫, 动态类型, 域名枚举, 多语言翻译, 字节码生成, 控制台工具, 敏感内容检测, 文件搜索, 生成式AI安全, 编程语言, 编译器, 网络安全, 脚本执行, 脚本语言, 蓝队分析, 虚拟机, 链接扫描, 隐私保护