gusta-ve/hickok

# hickok

一个 reverse-shell 处理程序和后渗透控制台。在多个 listener 上捕获 shell，运行命令，升级到完整的 PTY，生成 reverse-shell 单行命令，并端到端地走通一次 SQL 注入 —— 所有这一切都来自一个无依赖的 CLI。 它是手的一半：[**wraith**](https://github.com/gusta-ve/wraith) 握着 A —— 它负责侦察并证明入侵的路径；**hickok** 带来 8 —— 它根据 wraith 捕获的信息采取行动。A 和 8，这就是*死人牌* (dead man's hand)。 [](https://pypi.org/project/hickok/) [](https://github.com/gusta-ve/hickok/actions/workflows/ci.yml) [](https://github.com/gusta-ve/hickok/releases)   - [安装](#install) - [用法](#usage) - [SQL 注入](#sql-injection--hickok-sql) - [桥梁](#the-bridge--hickok-call) - [对决模式](#showdown-mode--hickok-showdown) ## 安装 ``` pipx install hickok ``` 或者通过克隆的代码库安装：`pip install -e .` —— 或者完全不安装直接运行： `PYTHONPATH=src python3 -m hickok`。 ## 用法 listener 是默认命令，因此直接输入 `hickok` 就会开始捕获 shell： ``` hickok # listen on :9001, drop into the console hickok -l 9001,9002 --lhost 10.10.14.7 # multiple listeners, fixed LHOST hickok payloads 10.10.14.7 9001 # print reverse-shell one-liners hickok call # act on wraith's latest run (found on its own) hickok call path/to/findings.json # ...or a specific one hickok sql -u 'http://host/p?id=1' -p id # walk a SQL-injectable parameter hickok hand # lay down the dead man's hand (the reveal) hickok showdown # toggle "showdown mode" — a landed shell plays out ``` 在控制台内部： ``` hickok> sessions list connected shells payloads reverse-shell one-liners for your LHOST cmd 1 id run a command on session 1 upgrade [1] full PTY, sized to your terminal (id optional if only one) interact [1] attach (detach with Ctrl-]) kill [1] drop a session ``` 掉线的 shell 会发出通知（不会出现静默丢失的情况），并且每个会话都会**记录在 transcript** 中，存放在 `~/.local/share/hickok/sessions/` 下，方便你撰写报告。`upgrade` 会启动一个 PTY，*并*将其 `TERM` 和窗口大小与你的终端相匹配，这样一旦你执行 `interact`，`clear`、`vi` 等程序就能正常工作。 ## SQL 注入 — `hickok sql` 通过 SQL 注入遍历数据库 —— 找到入口并将其读取出来。hickok 会校准注入点，对 DBMS 进行指纹识别（SQLite / MySQL / MSSQL / PostgreSQL），并自动选择最快的技术： - **union** — 当页面反映了查询输出时，它会在*一*次请求中读取整个值（通过 `group_concat` 读取整张表）。在 blind 模式下需要大约 1000 次请求的完整遍历，在这里只需少数几次。 - **boolean-blind** — 在其他情况下，它通过 TRUE/FALSE oracle 对每个字符进行二分搜索（当 false 页面几乎没变化时，会强制触发错误）。 - **time-based** — 当*没有任何东西*泄露时（相同页面，没有反射），它通过条件 sleep 进行询问并对响应进行计时。速度慢，但具有普适性。 使用 `--technique union|blind|time` 强制指定一种（默认为 `auto`，优先选择最快的）。 ``` hickok sql -u 'http://host/db?id=1' -p id # or just `hickok sql` to read it # from wraith's latest SQLi finding ``` 进入时，它会打印出 DBMS 以及它能看到的数据库，让你有地方开始挖掘： ``` hickok(sql)> banner DBMS version user / db current user / database databases list databases tables list tables columns a table's columns dump dump its rows query "" extract one value help / exit this / quit ``` ``` hickok(sql)> dump users id | username | password ---+----------+----------- 1 | admin | s3cr3t! 2 | alice | wonderland [+] 2 row(s) saved → ~/.local/share/hickok/sql/dumps/host_id_users.csv ``` 每次 `dump` 都会被写入 **CSV** 文件（并打印出路径），因此其生命周期比会话更长。传递 `-o DIR` / `--output DIR` 可将其直接放入你的测试文件夹中，而不是默认的数据目录。 **被过滤 / WAF 的目标。** 字符串字面量以**无引号**形式发送 —— 在 MySQL 中使用十六进制字面量，在其他地方使用 `char()` / `chr()` —— 因此，对于会剥离单引号的目标，仍然可以进行反射和 dump，而使用带引号 payload 的方式则会返回空结果。 当目录（`information_schema`）被阻止时，hickok 会改为**猜测名称**：常见的表名/列名加上 `_` 以及 CMS 前缀（`wp_`、`phpbb_`、……），通过名称进行探测，且 payload 中不包含目录。 Boolean-blind 本质上很慢（每个字符都需要通过许多请求进行二分搜索）—— 它在运行过程中会提供带有当前提取计数的实时心跳，并且 **Ctrl-C 会保留已提取的内容**并退回到控制台。 每个值在提取时都会**按目标进行缓存**，因此你永远不会为它支付两次代价：重新运行时，之前提取的任何内容都会立即返回（零请求），而你中断的遍历会准确地从停止的地方恢复。`--fresh` 会忽略缓存并重新提取。 **规避 / OPSEC：** ``` hickok sql -u '...' -p id --ghost # one flag: Tor (fail-closed) + random UA + throttle hickok sql -u '...' -p id \ # …or set the pieces yourself: --random-agent \ # a random real browser User-Agent --tor \ # route via Tor, verified (see below) --cookie 'sid=…' -H 'X-Api: …' \ # authenticated injection --delay 0.3 -v 2 \ # throttle; print every payload --dump users -o ./loot # non-interactive: dump to ./loot/users.csv and exit ``` `--ghost` 是最大 OPSEC 预设 —— 用一个词概括就是最安全的足迹（Tor + 随机 UA + 低速慢递），每个部分仍然可以通过其自身的标志进行覆盖。相同的标志也存在于 [wraith](https://github.com/gusta-ve/wraith) 中。 `--tor` 是**零依赖、感知泄漏且失败即关闭的**：hickok 自身使用标准库原生与 SOCKS5 通信，自动检测 Tor 端口（9050 / 9150），**通过 Tor** 解析目标主机名（无 DNS 泄漏），并且**在发送任何攻击流量之前验证出口节点是否为 Tor 节点** —— 如果无法确认，它将中止操作，而不是暴露你的真实身份。你只需要运行 Tor（`sudo systemctl start tor`）。首先使用 `hickok sql --check-tor --tor` 检查你的设置。`--proxy http://host:port` 和 `--proxy socks5://host:port` 也可以使用。 ## 桥梁 — `hickok call` `hickok call` 会自动获取 wraith 的最新运行结果 —— wraith 会写入一个固定的用户目录（`~/.local/share/wraith/runs/`，或者 `WRAITH_RUNS` 指向的任何位置），这是两个工具都认同的目录，因此它可以在任何目录下工作。它会读取表格，列出 wraith 发现的内容，并标记出每一个意味着**代码执行**（命令注入、SSTI 等）的发现 —— 这些就是通向 shell 的大门。 ``` hickok call # wraith's latest run, wherever you are hickok call path/to/findings.json # ...or a specific one ``` ``` [Critical] Command Injection in 'host' http://target/ping ⮕ shell [High] SSTI in 'name' http://target/render ⮕ shell [High] Reflected XSS in 'q' http://target/search ``` `hickok hand` 亮出死人牌 —— 在终端中，枪手先站出来，然后是纸牌： ``` ╭───────╮ ╭───────╮ ╭───────╮ ╭───────╮ ╭───────╮ │ A │ │ A │ │ 8 │ │ 8 │ │╱╲╱╲╱╲╱│ │ ♠ │ │ ♣ │ │ ♠ │ │ ♣ │ │╱╲╱╲╱╲╱│ │ A │ │ A │ │ 8 │ │ 8 │ │╱╲╱╲╱╲╱│ ╰───────╯ ╰───────╯ ╰───────╯ ╰───────╯ ╰───────╯ aces and eights — the dead man's hand. ``` wraith 发 A；hickok 带 8。这把牌齐了。 ## 对决模式 — `hickok showdown` `hickok showdown` 切换一种可在多次运行之间保持的模式。当它开启时，一旦 reverse shell 成功连接，listener 就会将捕获过程展现出来：枪手站起，亮出死人牌，并大声宣告 —— *庄家弃牌。* 奖励是给真正进入系统的；普通的运行和普通的 listener 保持安静。再次运行 `hickok showdown` 将其关闭。 ## 供练习的靶场 如果你是新手，或者想要一个安全的目标来磨炼 `hickok sql` 的技巧？ [**deadwood**](https://github.com/gusta-ve/deadwood) 是一个本地、分级的 web 安全靶场（从教程到地狱难度），正是为此而构建的 —— 将 hickok 指向一个房间并开始遍历它： ``` pipx install deadwood-sec && deadwood serve hickok sql -u 'http://127.0.0.1:8666/l/first-blood/app?id=1' -p id --dump secrets ``` ## 测试 ``` pip install -e ".[dev]" && pytest ``` ## 免责声明 专为授权的安全测试和研究而构建 —— 请将其指向你被允许的目标。任何人在此基础上的所作所为均由其个人承担全部责任；作者不对滥用行为承担任何责任。 ## 许可证 MIT。 *谨以此纪念 Wild Bill Hickok —— 1876 年，他在 Deadwood 握着 A 和 8 中弹身亡。*

标签：Blue Team, Python, 反弹Shell, 文档结构分析, 无后门, 逆向工具