Zigha08/AuthHacker

# AuthHacker：自动化 Web 登录爆破工具    **AuthHacker** 是一款功能强大的多线程自动化工具，专为安全研究人员和渗透测试人员设计，用于对基于 Web 的登录表单执行高效的暴力破解攻击。与简单的撞库工具不同，AuthHacker 能够智能地处理会话状态和安全 token。 ## 🚀 渗透测试核心功能 - **自动化 CSRF 处理：** 自动解析 HTML 以提取、维护和轮换每个请求的隐藏安全 token（CSRF/XSRF）。 - **会话智能：** 跨请求维护 cookie 状态，以模拟合法的用户浏览器行为。 - **自适应速率限制：** 内置延迟机制，可绕过基础的 Web 应用防火墙（WAF）和暴力破解防护。 - **多线程架构：** 使用 `Concurrent.futures` 优化性能，实现高速扫描且不会导致资源耗尽。 - **启发式成功检测：** 通过 HTTP 重定向（302）和基于内容的关键字匹配（例如，“Welcome”、“Dashboard”）来检测成功的登录。 - **专业报告：** 自动生成 **JSON** 和 **Markdown** 格式的审计日志，用于专业的渗透测试报告。 ## 🛠 项目结构 ``` AuthHacker/ ├── auth_hacker.py # Main CLI Entry Point ├── core/ │ ├── parser.py # HTML Parsing & CSRF Extraction │ └── brute.py # Multi-threaded Attack Engine ├── utils/ │ └── logger.py # JSON/Markdown Reporting Logic ├── wordlists/ # Sample Password Lists └── tests/ └── lab_server.py # Local Flask Security Lab for Testing ``` ## 💻 技术用法 ### 1. 安装 ``` git clone https://github.com/Zigha08/AuthHacker cd AuthHacker python -m venv venv source venv/bin/activate # On Windows: venv\Scripts\activate pip install -r requirements.txt ``` ### 2. 运行扫描 ``` python auth_hacker.py -u http://target.com/login -l admin -w wordlists/passwords.txt -t 5 -d 0.5 ``` ### 3. 选项 - `-u, --url`：目标登录页面的 URL。 - `-l, --username`：要攻击的用户名。 - `-w, --wordlist`：密码文件的路径。 - `-t, --threads`：并发线程数（默认：5）。 - `-d, --delay`：请求之间的延迟（以秒为单位）（默认：0.5）。 ## 🛡 道德使用警告 *本工具仅出于教育目的和授权的渗透测试而开发。未经事先同意对系统进行未经授权的使用是非法的。作者 (@Zigha08) 对本工具的任何滥用行为不承担责任。* **由 Ghazi Abid Al Azzam (@Zigha08) 开发** *有志成为渗透测试员 | 网络安全爱好者* - **Github：** [github.com/Zigha08](https://github.com/Zigha08) - **Email：** ghaziabidalazzam3@gmail.com - **LinkedIn：** [linkedin.com/in/ghazi-abid-al-azzam-a78363296](https://linkedin.com/in/ghazi-abid-al-azzam-a78363296) ## 关于我 由 [Ghazi Abid Al Azzam (@Zigha08)](https://github.com/Zigha08) 构建。 作品集：[zigha08.github.io](https://zigha08.github.io/)

标签：PoC, Python, Web安全, 无后门, 暴力破解, 蓝队分析, 逆向工具