ARS3NAL

一个本地、离线优先的渗透测试与 Bug Bounty 武器库。
Payload、一键构建的命令生成器、GTFOBins、字典、内嵌的 CyberChef、 反弹 shell、Burp 参考、操作清单以及任务追踪器 —— 集合于一个快速、可搜索、可编辑且完全在您本地机器上运行的应用中。

▶ 实时演示 — 完全在您的浏览器中运行，无需安装任何东西（您的数据仅保留在浏览器本地）。

 ## ✨ 核心亮点 ### 🛠️ 命令构建器 — 通过点击选项组装命令 核心主打功能。选择一个工具，切换所需的选项，命令就会通过**经过验证且带有文档说明的选项**自动组装（每个选项都有俄语解释）。在顶部栏中设置一次您的**目标 / LHOST**，它将被实时替换到*每个*工具的示例中 —— 再也不用对 `10.10.x.x` 进行繁琐的查找和替换了。可以将组装好的命令保存到您专属的**“Готовые команды”**库中（持久化存储于数据库中，并支持拖拽重新排序）。共有 59 款工具支持构建器（如 nmap、ffuf、sqlmap、gobuster、hashcat 等）；其余工具则提供丰富的 Markdown 参考资料。  ### ⌨️ 统一的全局搜索 一个 ⌘K 快捷面板，可一次性搜索**所有** payload、命令、GTFOBin、字典和文档（基于 SQLite FTS5），因此您无需记住内容存放在哪个模块中即可快速找到。  ### ⚡ 精选 payload — 包含 63 个分类 从 PayloadsAllTheThings 中人工精选（约 1500 条记录）：优先检测排序、可直接复制使用的 payload、图表及表格，并附带俄语提示。绝非嘈杂的自动抓取堆砌。  ### 🧪 CyberChef — 内嵌且完全离线 完整的官方 CyberChef 构建版本，直接内嵌于应用中，经过重新主题化以匹配应用风格，并将其 UI 本地化为俄语。无需离开 ARS3NAL 或联网即可进行编码/解码/加密操作。  ### 🐧 GTFOBins — 全部 458 个，完整翻译 包含所有的 GTFOBins 二进制文件，带有功能/上下文过滤标签（如 shell、文件读取、sudo、SUID 等），并提供俄语翻译的技术说明。  ### 🐚 反弹 shell 生成器 达到 revshells.com 同等水平：支持反弹 / 绑定 / msfvenom / 监听器，并提供 shell 与编码选择器（base64 / URL / PowerShell）。您的 LHOST 会与应用的其余部分共享。  ### ☑️ 操作清单 包含 70 个针对特定漏洞的清单（涵盖 Web + AD / 云 / 提权 / 内网转发），您可以逐项勾选 —— 进度会自动保存 —— 每个条目均配有研究面板和内嵌的 ⚡ payload 交叉链接。  ### 🎯 任务与发现记录 一个针对特定目标的工作区：主机 / LHOST / 范围 / 笔记 + 发现记录追踪器（严重程度、状态、复现过程） + **Markdown 报告导出**。当前的活动目标会自动将 `{TARGET}` / `{LHOST}` 注入到命令构建器和反弹 shell 生成器中。  ### 📚 字典参考 & 🟠 Burp 参考 精心整理的顶级字典指南（包含标准路径 + GitHub 链接 + “各自的用途说明”），以及一份关于 Burp Suite 桌面端工作流的俄语参考文档。

此外还包含**笔记**（个人 Markdown）、**收藏**（★ 跨越所有模块）和**备份**（将整个数据库导出/导入为一个 JSON 文件）功能。 ## 🚀 运行 **两种方式：**[**实时演示**](https://inflictx.github.io/Arsenal/) 仅在您的浏览器中作为客户端运行（参考内容已打包；您的笔记/目标/进度存储在浏览器的 IndexedDB 中）。如需体验带有专属 SQLite 数据库且支持内容编辑的完整本地应用，请自行运行： 双击 **`start.bat`**（首次运行将安装依赖项、播种数据库并构建 UI），然后打开 。 或手动运行（需要 Node.js 18+）： ``` npm install npm run seed # one-time: build data/arsenal.db from the bundled sources npm run build npm run start # http://localhost:7331 ``` 开发者模式：`npm run dev`（基于 Vite + Fastify，支持实时重载）。测试：`npm test`。 ## 🗂️ 项目布局 - `server/` — Fastify API + SQLite (better-sqlite3, FTS5) - `seed/` — 构建数据库的解析器（精选 payload、清单、命令、Burp 文档、GTFOBins、字典参考） - `web/` — Vite + 原生 TypeScript SPA (无框架) - `data/arsenal.db` — **属于您**的数据；自定义条目、笔记、任务和清单进度永远不会被重新播种的操作覆盖，且该数据库已被 git 忽略，因此任何个人数据都不会被上传发布。 ## 🔒 隐私 一切均在本地进行。笔记、目标、发现记录和保存的命令仅存在于 `data/arsenal.db`（已被 git 忽略）中。种子管道从源码重新构建所有*参考*内容，因此忽略该数据库不会造成任何参考数据的丢失。 ## ⚖️ 免责声明 ARS3NAL 是一款专为**授权的**安全测试、**CTF/学习**及防御性研究设计的参考与生产力工具。请**仅**在您拥有的系统上，或在获得明确书面授权进行测试的系统上使用。您需对自己的行为及遵守所有相关法律负全部责任。作者不对任何滥用或损坏承担责任。 完整文本：[`DISCLAIMER.md`](DISCLAIMER.md)。 ## 📄 许可证 **GPL-3.0**（详见 [`LICENSE`](LICENSE)）—— 采用此许可证是因为 ARS3NAL 内置了基于 GPL-3.0 协议的 GTFOBins 数据。

标签：SQLite, Vite, XXE攻击, 命令生成器, 安全工具箱, 离线应用