zencefilefendi/Operation-Molasses

## 🎭 理念：超越PDF倾倒 欢迎来到**蜜糖行动**。如果你偶然发现这个仓库，期待的只是又一个杂乱无章、包含过时PDF、速查表和零散Markdown文件的集合，那么你来错地方了。 “阅读黑客知识”的时代已经结束。以终端检测与响应（EDR）代理、AI驱动的启发式方法和零信任架构为主导的现代网络安全格局，需要新型的进攻性工程能力。**蜜糖行动**的创立旨在弥合理论知识与国家级（APT级别）作战执行之间的差距。 这不是一个图书馆；这是一个**武器化知识库**。 这个“赛博嫁妆箱”中的每个模块都已精心映射到**MITRE ATT&CK**框架。我们已经从静态文本过渡到**基础设施即代码（IaC）**、自动化侦察流水线和内存执行策略。在这里，你不仅仅是学习漏洞如何工作；你执行脚本、启动Docker容器、武器化载荷并实时利用它。 ## 🥷 架构师：泽恩西尔·埃芬迪 这个仓库诞生于终端深处，是**泽恩西尔·埃芬迪**的数字遗产。 为什么叫*蜜糖（Pekmez）*？因为高级行动就应该像蜜糖一样：黑暗、缓慢、无声，并且极具粘性。一旦你进入网络，就会有机地扩散，不留下任何痕迹，但让蓝队（防御者）无法清除你。 如果你在GitHub上阅读此文，请知道你正在查看大师的作战手册。请以它应得的尊重对待它。 ## 🏗️ 杀伤链架构（33个统治阶段） 要像高级持续性威胁（APT）一样行动，你必须按阶段思考。仓库严格分为6个战术类别，包含33个高级作战阶段，涵盖从简单的Web利用到认知战和AI投毒。 ### 📍 阶段01：侦察与开源情报（无声狩猎） 在第一个数据包触及目标边界之前，我们绘制其数字足迹。 * **AI辅助画像：** 使用 `zencefil_profiler.py` 摄取抓取的数据，并利用NLP自动识别高价值目标（HVT）。 * **自动化侦察：** `zencefil-recon.sh` 流水线——一个链接WHOIS、Subfinder和激进Nmap扫描的自动化Bash脚本。 ### 📍 阶段02：初始访问与利用（突破边界） 获取第一个Shell的艺术。 * **Web应用与实验室：** 用于实弹练习的IaC Docker Compose环境，搭配可执行的SSRF剧本。 * **武器化文档：** 使用WMI (`Win32_Process.Create`) 的VBA宏，用于破坏进程树并绕过行为EDR。 * **深度伪造与语音钓鱼：** 使用AI语音克隆（ElevenLabs/RVC）来绕过多因素认证（MFA）并授权欺诈操作。 ### 📍 阶段03：权限提升与横向移动（攀升阶梯） 你获得了一个低权限的Shell。现在怎么办？ * **自动化BloodHound：** `zencefil_ad_mapper.ps1` 在内存中运行，通过图论映射整个Active Directory域，无需接触磁盘。 * **高级持久化（WMI）：** 通过无文件WMI事件订阅劫持在重启后存活。 ### 📍 阶段04：专项目标（异类向量） 现代基础设施远不止Windows服务器。 * **硬件与物理：** 用于Hak5 Rubber Ducky的DuckyScript载荷，可在1.5秒内实现物理隔离绕过。 * **网络植入物：** Ansible自动配置程序，将树莓派转变为隐蔽的反向SSH投递箱。 * **OT/ICS与SCADA：** `zencefil_scada_strike.py`，通过未认证的Modbus TCP强行操纵工业PLC和阀门。 * **射频与SDR：** 使用HackRF进行重放攻击、GPS欺骗和卫星（铱星）拦截。 * **Web3与区块链：** 智能合约利用，展示`ZencefilDrainer.sol`重入攻击以耗尽DeFi协议。 ### 📍 阶段05：防御规避与工程（幽灵艺术） 这是脚本小子失败而国家级行动者茁壮成长的地方。 * **载荷武器化：** `zencefil-weaponizer.py` 对原始Shellcode（AES-256）进行加密，通过**Nim加载器**在内存中执行，绕过静态EDR签名。 * **隐蔽C2基础设施：** Terraform脚本通过AWS API网关（域前置）路由C2流量。 * **EDR杀手（BYOVD）：** 使用已签名的有漏洞内核驱动程序来剥离受保护进程轻量级（PPL）并从Ring-0终止EDR。 * **睡眠混淆：** 滥用Windows定时器队列在睡眠周期加密内存中的恶意软件，逃避实时内存取证。 * **零日漏洞挖掘：** 自动化Docker化AFL++流水线，用于在C/C++二进制文件中寻找内存损坏零日漏洞。 * **AI模型投毒：** 对抗性机器学习战术，向训练数据注入不可见水印，迫使下一代反病毒软件将恶意软件分类为安全。 ### 📍 阶段06：后渗透与取证（善后工作） 确保持久化，并了解蓝队将如何尝试猎捕你。 * **隐蔽数据渗出：** 使用 `zencefil_sender.py` 将窃取的数据分块并编码在ICMP（Ping）数据包中，以绕过DLP防火墙。 * **认知战：** `zencefil_disinfo_bot.py` 自动化假新闻生成和社交媒体僵尸网络，以压垮公司股价（做空并散布谣言）。 ## 🚀 如何部署文档站点 原始的Markdown文件很强大，但通过终端阅读可能会让人疲惫。我们构建了一个自动化的、以暗色模式优先的文档门户，由**MkDocs Material**驱动。 要在本地机器上启动战术仪表板： ``` git clone https://github.com/zencefilefendi/Operation-Molasses.git cd Operation-Molasses python3 -m venv venv source venv/bin/activate pip install -r requirements.txt mkdocs serve ``` 然后，打开浏览器并导航至：**`http://127.0.0.1:8000`** ## ⚖️ 法律免责声明与交战规则 **蜜糖行动 (Pekmez)** 中提供的工具、脚本和文档**仅用于教育目的、道德黑客和授权的红队行动。** * **规则#1：** 不要针对你未拥有或没有明确书面测试许可的基础设施。 * **规则#2：** 不要将未加密的原始载荷上传到公共扫描器（例如，VirusTotal）。你会为其他人暴露方法论。 泽恩西尔·埃芬迪、贡献者和托管平台对任何误用此信息的行为**不承担任何责任**。如果你用此进行非法活动，后果自负。保持蜜糖清洁。