verygoodsecbadsec/crackbox

# CrackBox 🔐 ## 什么是 CrackBox？ CrackBox 是一个交互式命令行工具包，它将业界标准的 offensive security 工具 —— `hashcat`、`john`、`hydra` 和 `netexec` —— 封装到一个引导式、菜单驱动的工作流中。无需记忆四个不同工具的参数和语法，只需回答简单的英文提示，CrackBox 就会为你构建并执行正确的命令。 它的诞生源于实际项目中的真实痛点：在评估过程中频繁切换工具会打断思路，而从笔记中复制粘贴命令又容易引入错误。CrackBox 将所有功能集中在一个地方。 ## 功能特性 | 模块 | 功能说明 | |--------|-------------| | **哈希破解** | 通过 `hash-identifier` 识别哈希类型，然后使用 `hashcat` 或 `john` 进行破解 | | **密码喷洒** | 通过 `netexec` 对 SMB、WinRM、SSH、MSSQL、RDP、FTP 进行凭证喷洒；支持 NTLM pass-the-hash | | **定向暴力破解** | 具有内置锁定策略感知的 Pitchfork 模式 `hydra` 攻击 | | **JWT 破解** | 使用 `hashcat` 破解 HS256/384/512 密钥；检测并剥离 `none` 算法令牌 | ### 安全优先设计 - 不使用 `shell=True` —— 杜绝命令注入和参数走私 - 凭据绝不会出现在日志文件中（使用 `***` 进行脱敏处理） - 敏感材料（哈希、令牌）会被写入临时文件，绝不作为 CLI 参数传递 - 临时文件始终会被清理，即使发生崩溃或按下 `Ctrl+C` - 采用微秒时间戳的输出文件，防止意外覆盖 ## 系统要求 - Linux（已在 Kali 2024.x 和 Parrot OS 6.x 上测试） - Python 3.8+ - `$PATH` 中需包含以下工具： | 工具 | 安装方式 | |------|---------| | `hashcat` | `sudo apt install hashcat` | | `john` | `sudo apt install john` | | `hydra` | `sudo apt install hydra` | | `netexec` | `pip install netexec` | | `hash-identifier` | `sudo apt install hash-identifier` | ## 安装说明 ``` git clone https://github.com/verygoodsecbadsec/crackbox.git cd crackbox chmod +x install.sh ./install.sh ``` ## 快速入门 ``` python3 crackbox.py ``` 你将会看到一个交互式菜单： ``` ____ _ ____ / ___|_ __ __ _ ___| |_| __ ) _____ __ | | | '__/ _` |/ __| __| _ \ / _ \ \/ / | |___| | | (_| | (__| |_| |_) | (_) > < \____|_| \__,_|\___|\__|____/ \___/_/\_\ Hardened Credential Attack Toolkit What would you like to do? 1) Crack a hash 2) Password spraying 3) Targeted brute-forcing (pitchfork) 4) JWT signature cracking 5) Exit ``` 请参阅 [docs/commonusage.md](docs/commonusage.md) 获取真实使用场景的示例。 ## 输出文件 | 文件 | 内容 | |------|----------| | `crackbox_YYYYMMDD_HHMMSS.log` | 完整的会话日志（凭据已脱敏） | | `cracked_HHMMSS_ffffff.txt` | Hashcat 破解出的哈希 | | `jwt_cracked_HHMMSS_ffffff.txt` | 破解出的 JWT 密钥 | ## 项目结构 ``` crackbox/ ├── crackbox.py # Main toolkit ├── install.sh # Dependency checker and installer ├── .gitignore ├── LICENSE ├── README.md └── docs/ └── common-usage.md # Annotated usage examples ``` ## 法律声明 本工具仅适用于 CTF 竞赛、安全研究以及受控测试环境中的授权使用。在未经拥有或未获得明确授权监听的网络中捕获流量，在大多数司法管辖区均属违法行为。作者对任何未经授权的使用不承担任何责任。 ## 许可证 - 本项目基于 MIT 许可证授权 – 详情请参阅 [LICENSE](LICENSE) 文件。

标签：DOS头擦除, hashcat, hydra, John the Ripper, JWT攻击, NetExec, Pass-the-Hash, PoC, Python, VEH, 凭据利用, 反取证, 字典攻击, 安全测试, 安全评估, 密码喷洒, 密码破解, 攻击性安全, 数据展示, 无后门, 暴力破解, 红队, 网络安全, 自动化攻击, 逆向工具, 隐私保护, 靶机实战