other4/raje-bug-toolkit
GitHub: other4/raje-bug-toolkit
一款纯浏览器端的 Bug Bounty 工作流工具包,集成分阶段测试清单、269 个实验解法、自动脚本生成与多目标项目管理功能。
Stars: 0 | Forks: 0
BugHunt Toolkit — Browser-Based Bug Bounty Workflow
功能 • 项目 • 阶段 • 脚本 • PortSwigger Labs • 使用方法 • 工具 • 输出文件 • 法律声明 • 贡献 • 许可证
## 📸 预览    ## ✨ 功能 - **19 个测试阶段** — 从被动侦察到漏洞报告,涵盖实际测试项目的每个阶段 - **通过 localStorage 持久化状态** — 清单进度、当前阶段、折叠面板状态和目标域在页面刷新后依然保留 - **多项目管理** — `projects.html` 可追踪多个漏洞赏金目标,包含状态、进度、赚取的赏金和备注 - **感知目标的复制** — 只需设置一次目标域;每个命令和脚本都会自动对其进行填充 - **一键脚本生成器** — 下载 11 个预填充且可直接运行的 bash 脚本(`chmod +x`) - **269 个 PortSwigger 实验解法** — 涵盖 31 个漏洞类别的所有技术,支持按关键字或 payload 搜索 - **项目查找器** — 精选指向全球、欧盟、印度和政府漏洞赏金平台的直达链接 - **文件输出参考** — 将每个生成的侦察文件映射到其用途和检查优先级 - **时间线与反模式** — 真实的首次发现漏洞时间线,以及导致零发现的具体错误 - **interactsh 集成** — 在每个 OOB payload 部分内置的免费 Burp Collaborator 替代方案 - **安全的 SQLMap 参考** — 并排展示安全与破坏性标志,并带有明确警告 - **零依赖** — 纯 HTML/CSS/JS,无框架,逻辑中无 CDN 调用 ## 📁 项目管理 该工具包附带两个协同工作的文件: | 文件 | 用途 | |------|---------| | `bbh-toolkit.html` | 主要测试工作流 — 阶段、清单、代码块、脚本生成器 | | `projects.html` | 项目管理器 — 创建、恢复、删除和追踪多个目标 | ### 工作原理 - 工具包右上角的 **新建项目** 按钮会打开一个模态框,用于创建项目并立即切换到该项目 - 所有清单进度、当前阶段和折叠面板状态都会自动保存到 `localStorage` 中,键名为 `bbh_toolkit_state` - 每次保存都会同步到 `bbh_projects`,因此 `projects.html` 始终能反映实时进度 - 任何项目卡片上的 **恢复** 操作会将该目标的完整保存状态加载回工具包 - **删除** 会从 `bbh_projects` 中永久移除该项目,如果它是当前的活动会话,则会清除 `bbh_toolkit_state`,并向 `bbh_deleted_targets` 写入一个墓碑记录,这样工具包就不会再次自动创建它 - 项目追踪内容包括:目标域、平台、严重性侧重、赚取的赏金、备注、清单进度和最后保存日期 - `projects.html` 中的 **导出 JSON** 会将所有项目下载为带有时间戳的备份文件 ### 追踪的项目统计 - 总项目数 - 已完成(100% 检查) - 进行中 - 所有目标完成的检查总数 - 赚取的总赏金 ## 🗂️ 涵盖阶段 | # | 阶段 | 类型 | |---|-------|------| | 0 | 范围审查 | 手动 · 关键 | | 1 | 被动子域名枚举 | 自动 | | 2 | 存活主机探测与技术指纹识别 | 自动 | | 3 | 视觉分流(截图) | 自动 + 手动 | | 4 | 手动应用遍历 | 手动 · 关键 | | 5 | 身份验证流程测试 | 手动 | | 6 | IDOR 测试 | 手动 | | 7 | XSS 测试 | 手动 → 自动 | | 8 | JS 挖掘与机密发现 | 自动 + 手动 | | 9 | 参数发现 | 自动 | | 10 | 业务逻辑与高级测试 | 手动 | | 11 | 目录与 Endpoint 模糊测试 | 自动 | | 12 | Nuclei 扫描 | 自动 | | 13 | SQLi 测试 | 手动 → 自动 | | 14 | 报告 | 手动 | | PS | PortSwigger Labs 参考 | 参考 · 269 个实验 | | ⬇ | 文件生成器 | 一键下载脚本 | | 📂 | 文件输出参考 | 参考 | | ⏳ | 时间线与反模式 | 心态 · 关键 | ## 📦 生成的脚本 **文件生成器** 标签页可生成 11 个可直接运行的 bash 脚本,并预填充了您的目标域: ``` 00_setup_workspace.sh Create all output directories and placeholder files 01_subdomain_enum.sh Phase 1 — Passive enumeration (subfinder, amass, crt.sh, OTX, urlscan, Wayback) 02_live_probe.sh Phase 2 — Live host probing and tech fingerprinting 03_screenshots.sh Phase 3 — Visual triage screenshots (gowitness / eyewitness) 04_js_mining.sh Phase 8 — JS crawl, secret scanning, high-value file discovery 05_param_discovery.sh Phase 9 — Parameter mining and vulnerability class filtering 06_fuzzing.sh Phase 11 — Directory fuzzing, extension scanning, API discovery 07_nuclei.sh Phase 12 — Nuclei scanning (rate-limited), subzy, corsy 08_cors_test.sh Phase 10 — CORS origin reflection testing 09_403_bypass.sh Phase 10 — Path and header-based 403 bypass techniques 10_interactsh_setup.sh OOB testing — interactsh install and startup (free Burp Collaborator alternative) ``` 所有脚本都使用 `TARGET="your-domain.com"` 作为第一个变量。下载 → `chmod +x` → 运行。 ## 🧪 PortSwigger Labs 覆盖范围 涵盖 269 个实验中所有 31 个漏洞类别的完整解法技术 — 可直接在浏览器中按关键字、payload 或技术进行搜索: | 类别 | 实验数 | 关键技术 | |----------|------|----------------| | SQL Injection | 16 | UNION, 盲注条件, 时间盲注, OOB 数据提取, 可见错误, 登录绕过 | | XSS | 28 | 存储型, 反射型, DOM, CSP 绕过, AngularJS, postMessage, cookie 窃取 | | CSRF | 12 | Token 绕过, SameSite Lax/Strict, Referer 验证, 方法重写 | | SSRF | 7 | Localhost, 云端元数据 (AWS/GCP/Azure), 白名单绕过, Shellshock | | XXE | 9 | 文件读取, OOB DTD 数据提取, 基于错误, XInclude, SVG 上传, 本地 DTD | | HTTP Smuggling | 10 | CL.TE, TE.CL, H2.TE, 混淆, 捕获请求, 绕过安全控制 | | JWT | 8 | alg:none, jwk 注入, jku header, kid 路径遍历, alg 混淆 RS→HS | | SSTI | 7 | Jinja2, Freemarker, Handlebars, Twig, ERB, 沙箱逃逸 | | OAuth | 6 | 隐式流程, redirect_uri 操纵, 通过注册进行 SSRF, CSRF 关联 | | Race Conditions | 6 | 限制超出, 单包攻击, 多 Endpoint, 时间敏感 Token | | Prototype Pollution | 10 | 浏览器 API, DOM XSS gadgets, 服务端, 通过 execArgv 触发 Node.js RCE | | Access Control / IDOR | 13 | robots.txt, header 绕过, 方法切换, UUID IDOR, 多步跳过 | | Authentication | 14 | 用户名枚举, 2FA 绕过, 重置投毒, JSON 数组暴力破解 | | Business Logic | 12 | 价格操纵, 负数数量, 整数溢出, 工作流程绕过 | | Path Traversal | 6 | 简单, 绝对路径, 编码序列, 空字节, 前缀验证 | | File Upload | 7 | MIME 绕过, .htaccess, 扩展名混淆, polyglot, 竞争条件 | | CORS | 3 | Origin 反射, Null Origin, 不安全的协议链 | | Clickjacking | 5 | 基础, Frame buster 绕过, 多步, DOM XSS 组合 | | Deserialization | 10 | PHP bool/type, Java ysoserial, phpggc, 自定义 gadget chain, PHAR | | GraphQL | 6 | Introspection, 别名暴力破解, 通过 GET 进行 CSRF, 隐藏 mutation | | Web Cache Poisoning | 10+ | 未加密 header, 参数隐藏, fat GET, URL 标准化 | | Web Cache Deception | 5 | 路径映射, 分隔符差异, 标准化缺口 | | NoSQL Injection | 4 | MongoDB 操作符注入, 身份验证绕过, 通过 regex 提取数据 | | OS Command Injection | 5 | 带内, 时间延迟, 输出重定向, OOB DNS 数据提取 | | Host Header Attacks | 6 | 重置投毒, 身份验证绕过, 路由 SSRF, 悬空标记 | | WebSockets | 3 | 消息 XSS, 跨站劫持 (CSWSH), 握手操纵 | | API Testing | 5 | 批量赋值, 参数污染, 未使用的 Endpoint, Swagger 发现 | | Information Disclosure | 5 | 错误消息, 调试页面, .git 历史记录, 备份文件 | | DOM-Based | 7 | postMessage, JS URL, JSON.parse, 开放重定向, cookie 操纵 | | Web LLM Attacks | 4 | 过度授权, 间接 prompt 注入, 不安全的输出处理 | | Essential Skills | 2 | 定向扫描, 非标准数据结构 | ## 🚀 使用方法 ### 选项 1 — 直接打开 ``` git clone https://github.com/other4/bughunt-toolkit.git cd bughunt-toolkit open bbh-toolkit.html # macOS xdg-open bbh-toolkit.html # Linux ``` 无需服务器。在任何现代浏览器中打开 `bbh-toolkit.html`。将 `projects.html` 保留在同一目录中。 ### 选项 2 — GitHub Pages 在 `main` 分支上启用 GitHub Pages: ``` https://other4.github.io/bughunt-toolkit/ ``` ### 工作流 1. 打开 `bbh-toolkit.html` — 首次访问时会出现一个 **新建项目** 提示 2. 输入您的目标域名并创建项目 3. **按顺序** 完成各个阶段 — 从阶段 0 开始(范围审查,不可跳过) 4. 完成后勾选清单项目 — 进度会自动保存 5. 在任何代码块上使用 **⎘ 复制** — 命令会自动填充您的目标域 6. 前往 **文件生成器** 下载所有 11 个预填充了您目标的 bash 脚本 7. 在手动测试期间使用 **PortSwigger Labs** 作为参考 8. 通过 **⊞ 项目** 切换到 `projects.html` 以管理多个目标或恢复之前的会话 ### 使用的 localStorage 键 | 键名 | 内容 | |-----|---------| | `bbh_toolkit_state` | 活动会话:目标、已检查项、当前阶段、展开部分 | | `bbh_projects` | 所有已保存的项目数组(最多 50 个) | | `bbh_deleted_targets` | 墓碑列表 — 防止已删除的项目被重新创建 | ## 🛠️ 引用的工具 脚本和阶段引用了这些工具。根据需要进行安装: ``` # 侦察与发现 go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest go install -v github.com/projectdiscovery/katana/cmd/katana@latest go install -v github.com/projectdiscovery/naabu/v2/cmd/naabu@latest go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest go install -v github.com/lc/gau/v2/cmd/gau@latest go install -v github.com/tomnomnom/waybackurls@latest go install -v github.com/tomnomnom/gf@latest go install -v github.com/hahwul/dalfox/v2@latest # Fuzzing # ffuf: https://github.com/ffuf/ffuf # arjun: pip install arjun # 截图 # gowitness: https://github.com/sensepost/gowitness # eyewitness: https://github.com/RedSiege/EyeWitness # 杂项 # wafw00f: pip install wafw00f # corsy: https://github.com/s0md3v/Corsy # subzy: https://github.com/PentestPad/subzy # SecretFinder: https://github.com/m4ll0k/SecretFinder # amass: https://github.com/owasp-amass/amass # sqlmap: https://github.com/sqlmapproject/sqlmap ``` ## 📁 预期的输出文件结构 运行侦察阶段后,您的工作目录将包含: ``` target-recon/ ├── all_subs.txt All discovered subdomains (deduplicated) ├── live_subs.txt Live HTTP/S hosts ├── httpx_output.txt Tech / status / title / IP fingerprints ├── behind_waf.txt Hosts behind a known WAF ├── no_waf_subs.txt Hosts without WAF (higher priority targets) ├── alive_ports.txt Hosts alive on non-standard ports ├── naabu_ports.txt Open ports from naabu ├── nmap_scan.txt Service / version fingerprints ├── waf_results.txt wafw00f WAF detection output ├── tech_php.txt PHP hosts ├── tech_asp.txt ASP/.NET hosts ├── tech_java.txt Java hosts ├── screenshots/ gowitness / eyewitness visual triage images ├── endpoints.txt All crawled URLs (katana + waybackurls + gau) ├── all_js_files.txt JS file URLs ├── all_params.txt All parameterized URLs (combined + deduplicated) ├── wayback_params.txt Parameterized URLs from Wayback Machine ├── gau_params.txt Parameterized URLs from gau ├── arjun_params.txt Hidden parameters from Arjun ├── secrets_found.txt Potential API keys / tokens from JS (SecretFinder) ├── js_manual_review.txt JS files containing sensitive keywords ├── high_value_files.txt .env / .bak / .config / .sql — CHECK EVERY ONE ├── dom_sinks.txt Dangerous JS sinks found via grep ├── candidates_xss.txt XSS candidate URLs (gf-filtered) ├── candidates_idor.txt IDOR candidate URLs ├── candidates_ssrf.txt SSRF candidate URLs ├── candidates_redirect.txt Open redirect candidates ├── candidates_lfi.txt LFI candidate URLs ├── candidates_sqli.txt SQLi candidate URLs ├── ffuf_dirs.json Directory fuzzing results ├── ffuf_ext.json Extension fuzzing results (.bak / .env / .zip) ├── ffuf_api.json API endpoint fuzzing results ├── nuclei_misconfig.txt Nuclei misconfiguration findings ├── nuclei_cves.txt Nuclei CVE match findings ├── nuclei_js.txt Nuclei exposure findings from JS files ├── cors_results.txt CORS misconfiguration findings (corsy) └── subzy_results.txt Subdomain takeover candidates ``` **侦察后的优先级顺序:** `high_value_files.txt` → `secrets_found.txt` → `subzy_results.txt` → `nuclei_cves.txt` → `candidates_idor.txt` → `candidates_xss.txt` ## ⚠️ 法律与道德使用 此工具包**专用于授权的安全测试**: - 仅测试您拥有**明确书面许可**进行测试的目标 - 在运行任何工具之前,务必阅读并遵守**项目政策**(阶段 0 — 不可跳过) - 绝不测试范围外的资产 - 绝不运行破坏性命令(`--os-shell`, `--dump`, DoS 工具, `--level=5 --risk=3`) - 遵循负责任的漏洞披露 — 通过正确的项目渠道报告发现 未经授权访问计算机系统是违法行为。作者不对滥用行为承担任何责任。 ## 📄 许可证 MIT 许可证 — 有关详细信息,请参阅 [许可证](LICENSE)。
为漏洞赏金社区而构建 · 无追踪 · 无后端 · 绝不废话
标签:CISA项目, GitHub, Web安全, 前端工具, 后端开发, 安全工具箱, 实时处理, 密码管理, 应用安全, 蓝队分析