cakgup/pentest-djpb
GitHub: cakgup/pentest-djpb
一款纯静态的内部渗透测试命令参考库与工作流指南,帮助安全团队在授权范围内系统化地执行各阶段测试并规范证据收集。
Stars: 0 | Forks: 0
# 🛡️ Pentest DJPB
### 内部渗透测试指南
**命令库 • 实验室控制 • 证据导向测试 • 授权安全评估**




🌐 演示 / GitHub Pages: **https://cakgup.github.io/pentest-djpb/**
📦 代码仓库: **https://github.com/cakgup/pentest-djpb**
## ✨ 关于应用
**Pentest DJPB** 是一个静态 Web 应用,包含了内部 penetration testing 的参考命令和工作流程集合。该应用被设计为一个 **command library**,旨在帮助安全团队、培训学员以及技术审计人员系统地理解安全测试的各个阶段。
此应用不需要后端、数据库或复杂的安装过程。所有页面均通过 **HTML、CSS 和 JavaScript** 直接在浏览器中运行,因此非常适合作为 GitHub Pages 上的轻量级参考门户。
本代码仓库旨在用于:
- 🔍 内部 penetration testing 学习;
- 🧪 在受控的实验室环境中进行模拟;
- 📋 整理安全测试的技术 evidence;
- 🛡️ 提升信息安全意识;
- 🧭 将测试阶段与结构化的方法论保持一致;
- 🤝 记录可供负责任地学习和复制的安全知识。
## 🎯 核心目标
本应用并非为了进行未经授权的攻击行为,而是旨在通过合法且记录完善的流程来帮助加强安全。
其开发目标是:
1. 提供易于搜索的 penetration testing 命令目录;
2. 帮助团队理解从 reconnaissance 到报告的各个测试阶段;
3. 通过风险标签来区分使用命令的风险等级;
4. 方便在实验室环境中替换目标变量和域名;
5. 支持记录评估结果的 evidence;
6. 成为共同学习的平台,以加强信息系统安全。
## 🧩 主要功能
| 功能 | 说明 |
|---|---|
| 🗂️ **Command Library** | 为学习、内部实验室和授权评估需求精选的命令集合。 |
| 🔎 **快速搜索** | 方便根据关键词、标题、阶段或描述搜索命令。 |
| 🧭 **测试阶段过滤** | 命令按阶段分组,例如 reconnaissance、baseline assessment、exploitation lab、C2 concept 和报告。 |
| 🧪 **Lab Control** | 可以调整 `{{TARGET}}` 和 `{{DOMAIN}}` 等变量,使命令更容易在实验室环境中使用。 |
| 📋 **Copy Command** | 复制按钮可加快命令的使用速度,无需重新输入。 |
| 🏷️ **Risk Label** | `safe`、`lab`、`restricted` 和 `concept` 等标签可帮助用户了解安全使用命令的边界。 |
| 🌙 **Toggle Tema** | 可调整界面显示,以提供舒适的使用体验。 |
| 🕌 **Jadwal Shalat Header** | Header 显示 DKI Jakarta 及周边地区的 Jadwal Shalat,并具有本地 fallback 支持。 |
| ⬆️ **Floating Back to Top** | 用于长页面导航的返回顶部按钮。 |
| 📱 **Responsive Design** | 界面适配桌面端和移动设备。 |
## 🏗️ 仓库结构
```
pentest-djpb/
├── index.html # Struktur utama halaman aplikasi
├── styles.css # Desain visual, layout, tema, dan responsivitas
├── script.js # Data command, filter, pencarian, lab control, dan interaksi UI
├── README.md # Dokumentasi repository
└── LICENSE # Lisensi MIT
```
## 🚀 如何使用应用
### 1. 打开应用
使用 GitHub Pages 页面:
```
https://cakgup.github.io/pentest-djpb/
```
### 2. 确定实验室目标
在 **Lab Control** 面板中,根据合法的测试范围填写目标和域名,例如:
```
TARGET = 192.168.56.10
DOMAIN = lab.local
```
完成后,命令中的 `{{TARGET}}` 和 `{{DOMAIN}}` 等占位符将自动替换。
### 3. 选择测试阶段
使用阶段过滤器按步骤查找命令,例如:
- Reconnaissance;
- Baseline Assessment;
- Weaponization Lab;
- Delivery Simulation;
- Exploitation Validation;
- Installation / Persistence Audit;
- Command & Control Concept;
- Actions on Objectives & Reporting。
### 4. 查看风险标签
在使用命令之前,请注意风险标签:
| 标签 | 含义 |
|---|---|
| `safe` | 在授权资产上进行基础观察/Mapping 相对安全。 |
| `lab` | 仅在实验室环境或 scope 内的官方资产上使用。 |
| `restricted` | 高风险;仅供讲师、封闭实验室或批准的官方场景使用。 |
| `concept` | 用于概念讨论、意识提升或防御性观察。 |
### 5. 复制命令
点击所需命令上的 **copy** 按钮,然后仅在处于官方测试 scope 内的系统上运行。
## 🔐 安全使用原则
使用本应用必须遵循以下原则:
- ✅ 仅针对处于测试 scope 内的资产;
- ✅ 拥有官方授权或书面委托;
- ✅ 不用于攻击他人;
- ✅ 不用于获取超出 evidence 需求的数据;
- ✅ 每一项活动都必须被记录;
- ✅ 每一项发现都应指向安全整改;
- ✅ 高风险命令仅在封闭实验室或防御性演示中使用。
## 📋 建议的工作流程
```
flowchart TD
A[Menentukan Scope Pengujian] --> B[Menyiapkan Lab / Target Berizin]
B --> C[Reconnaissance]
C --> D[Baseline Assessment]
D --> E[Validasi Temuan di Lab / Scope Resmi]
E --> F[Pengumpulan Evidence]
F --> G[Analisis Risiko]
G --> H[Rekomendasi Perbaikan]
H --> I[Laporan dan Tindak Lanjut]
```
如果平台 README 未渲染 Mermaid,上述图表仍可作为文本流程阅读。
## 🛠️ 本地安装
由于本应用是一个 static site,您只需在浏览器中打开 `index.html` 文件即可。
### 选项 A — 下载 ZIP
1. 打开代码仓库:
```
https://github.com/cakgup/pentest-djpb
```
2. 点击 **Code** → **Download ZIP**。
3. 解压文件。
4. 在浏览器中打开 `index.html`。
### 选项 B — Clone Repository
```
git clone https://github.com/cakgup/pentest-djpb.git
cd pentest-djpb
```
然后打开:
```
index.html
```
### 选项 C — 使用 Local Server 运行
建议使用 local server,以便静态文件的行为更接近 GitHub Pages。
```
python3 -m http.server 8080
```
打开浏览器:
```
http://localhost:8080
```
## 🌈 部署到 GitHub Pages
要将此应用复制到个人/机构的 GitHub Pages:
1. Fork 或 clone 代码仓库。
2. Push 到您的 GitHub 仓库。
3. 进入 **Settings** → **Pages**。
4. 在 **Build and deployment** 部分,选择:
```
Source : Deploy from a branch
Branch : main
Folder : /root
```
5. 点击 **Save**。
6. 等待部署过程完成。
7. 打开 GitHub 提供的 GitHub Pages URL。
## 🔁 复制和修改方法
只要继续关注许可和使用道德,就可以复制此代码仓库用于内部学习需求。
### 1. Fork repository
在 GitHub 上点击 **Fork** 按钮,如有必要,请调整仓库名称。
### 2. 修改应用标识
编辑以下位置的主题和描述:
```
index.html
```
根据部门、团队或培训活动的名称进行调整。
### 3. 修改视觉主题
编辑以下位置的颜色、layout 和视觉元素:
```
styles.css
```
可自定义的部分示例:
```
:root {
--primary: #1A3A6B;
--accent: #FFCA1A;
}
```
### 4. 修改 command library
编辑以下位置的命令列表:
```
script.js
```
使用一致的对象格式:
```
{
id: "cmd-xxx",
phase: "baseline",
title: "Nama Pemeriksaan",
risk: "safe",
desc: "Deskripsi singkat penggunaan command.",
command: "COMMAND_DI_SINI"
}
```
确保新命令:
- 与防御目的相关;
- 具有相应的风险标签;
- 不包含 secret、token 或凭证;
- 未经授权不针对公开目标;
- 附有明确的使用说明。
### 5. 如有必要,添加新阶段
可以在 `script.js` 中的 `phases` 数组中添加测试阶段。
示例:
```
{
id: "reporting",
label: "Reporting",
short: "Laporan teknis",
desc: "Penyusunan evidence, analisis risiko, dan rekomendasi perbaikan."
}
```
## 📁 Evidence 结构建议
在进行官方测试时,请妥善保存 evidence,以便于审计。
```
evidence/
├── screenshots/ # Bukti visual halaman, response, atau hasil validasi
├── raw/ # Output mentah dari tools
├── reports/ # Ringkasan hasil analisis
├── notes/ # Catatan manual tester
└── timeline/ # Kronologi aktivitas pengujian
```
文件命名示例:
```
YYYYMMDD_nama-aplikasi_jenis-pengujian_tool.txt
YYYYMMDD_nama-aplikasi_screenshot-temuan-01.png
YYYYMMDD_nama-aplikasi_ringkasan-temuan.md
```
## 🧾 漏洞报告简要格式
请使用以下格式,以便更容易跟进测试结果:
```
Nama Kerentanan :
Kategori :
Aset / Path :
Severity :
CVSS Vector :
Deskripsi :
Bukti / Evidence :
Dampak :
Rekomendasi :
Status Tindak Lanjut :
```
此格式可以根据组织内部标准、OWASP、CVSS 或适用的风险管理政策进行调整。
## 👥 目标用户
本应用可供以下人员使用:
- 信息安全团队;
- 基础设施和应用管理人员;
- 内部 penetration testing 培训学员;
- 技术审计人员;
- incident response 团队;
- 希望了解 security testing 视角的应用开发人员;
- 拥有执行安全测试官方授权的人员。
## 📌 道德声明
网络安全知识是一种信托责任。一个人的技术能力越强,其道德责任就越大。
请将此应用用于:
- 修复系统;
- 保护数据;
- 提高组织的准备度;
- 教育用户;
- 在被他人滥用之前修补漏洞。
请勿将此应用用于:
- 未经授权攻击系统;
- 传播恶意 payload;
- 窃取无权获取的数据;
- 干扰公共服务;
- 在 scope 之外进行技术验证。
## 🤲 致辞
### 谨献给 ummat。
希望这个小应用能成为善举努力的一部分:
守护数字信托责任,加强信息安全,
并帮助更多人正确、安全、有益地学习技术。
## 🤝 贡献
只要保持在防御性学习和授权使用的范畴内,我们非常欢迎您的贡献。
建议的贡献形式:
- 添加安全的防御性命令;
- 改进命令描述;
- 添加缓解参考;
- 改进 responsive 界面;
- 添加报告模板;
- 修复拼写错误或文档;
- 添加有关 hardening 和 secure configuration 的指南。
在发送 pull request 之前,请确保:
1. 命令不包含凭证或敏感信息;
2. 命令不针对特定的公开目标;
3. 描述解释了合法的上下文和使用限制;
4. 风险标签合适;
5. 已在本地测试过更改。
## 🧯 故障排除
### Jadwal Shalat 仅显示 `Memuat --:--`
可能的原因:
- 浏览器/CDN 缓存尚未更新最新文件;
- `script.js` 或 `styles.css` 文件未 push;
- API jadwal shalat 暂时无法访问。
解决方案:
```
git status
git add index.html styles.css script.js README.md
git commit -m "Update Pentest DJPB static site"
git push origin main
```
部署完成后,执行强制刷新:
```
Ctrl + F5
```
或者通过隐身模式打开。
### 移动端界面显示不全
确保最新版本的 `styles.css` 文件已部署,且未被缓存阻止。
### 替换目标后命令未更改
再次检查 **Lab Control** 面板中的输入。确保命令中使用的占位符为:
```
{{TARGET}}
{{DOMAIN}}
```
## 📜 许可证
本代码仓库使用 **MIT** 许可证。
请根据许可条款使用、学习、修改和重新分发。
请务必恪守道德、获得授权并承担责任。
## 🙏 结语
**Pentest DJPB** 是一个学习和文档辅助工具,不能替代政策、官方授权或完整的渗透测试方法论。
请将其作为一种工具,用于加强安全、明确工作流程,并建立为 ummat 带来安全、值得信赖和有益的数字文化。
**用心打造,为了安全、学习与公共利益。**
🛡️📚🤲
标签:反取证, 命令库, 多模态安全, 安全评估, 数据可视化, 知识文档, 自定义脚本, 静态网站