zakhar-git/Pamp

GitHub: zakhar-git/Pamp

Pamp 是一个无需付费 API 的攻击面情报平台,通过自动化侦察为安全研究人员生成交互式离线评估报告。

Stars: 3 | Forks: 0

# Pamp ## 功能 - IP Intelligence - Domain Intelligence - DNS / RDAP / TLS 分析 - HTTP 安全分析 - 应用蓝图 - 应用路由 Intelligence - JavaScript Intelligence - 技术指纹识别 - Nmap 集成 - 公开提及搜索 - 交互式离线 HTML 报告 - 英文 / 俄文本地化 ## 技术栈 - Python 3.11+ - Rich - Requests - Playwright - BeautifulSoup4 - Jinja2 - NetworkX - PyVis - Cryptography ## 安装说明 ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 pip install -r requirements.txt python -m playwright install chromium ``` ## 使用说明 运行 Pamp: ``` python -m pamp.main ``` 或 ``` python pamp/main.py ``` ## 可用模块 ### IP Intelligence 分析 IP 地址并收集: - 地理位置信息 - ASN 信息 - 反向 DNS - 托管信息 - 基础设施详情 ### Domain Intelligence 全面的域名侦察,包括: - DNS 记录 - RDAP / WHOIS - 证书透明度 - TLS 证书分析 - HTTP 指纹识别 - 安全响应头 - HTML 分析 - 技术检测 - 追踪器检测 - 公开资源 - 历史 Intelligence - 信誉 Intelligence ### 应用 Intelligence 自动发现: - 应用蓝图 - 路由结构 - JavaScript 资产 - API Endpoint - OAuth Endpoint - WebSocket 连接 - 云存储引用 ### 报告 Pamp 生成具有以下功能的完全交互式离线 HTML 报告: - 搜索 - 过滤 - 侧边栏导航 - 时间线 - 交互式图表 - 攻击面摘要 - 英文 / 俄文本地化 ## 公开数据源 Pamp 仅依赖公开可用的数据源。 示例包括: - RDAP - crt.sh - Cloudflare DNS - Internet Archive - AlienVault OTX - OpenPhish - PhishTank - URLHaus - ThreatFox 无需付费 API。 ## 截图 ### 菜单 ![菜单](https://static.pigsec.cn/wp-content/uploads/repos/cas/25/25887b2c187f164e9d7047a49abe1f6c1707be30749d54c2fd042c639a2fa6c1.png) 包含可用分析模块、语言选择以及当前工作区快捷访问的主 CLI 界面。 ### 搜索 ![搜索](https://static.pigsec.cn/wp-content/uploads/repos/cas/d2/d290a6b187c434bf40bad762051cf4d5e0df7b7fa8c7a223b467fb27dd483e90.png) 用于新分析会话的目标初始化和侦察工作流。 ![搜索](https://static.pigsec.cn/wp-content/uploads/repos/cas/f9/f957e4dc574ea30fd94f3573cd827419093e131b5965233812c552711570e6f1.png) 显示模块执行和实时分析状态的实时进度视图。 ### 分析完成 ![分析完成](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/ac40277dc6e7c919215b7a036113e60bdd249a8c8c231c8e93ec727411c8e0f8.png) 已完成的分析,包含生成的制品、统计数据,以及随时可供查看的交互式 HTML 报告。 ### HTML 报告 ![HTML 报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/7b/7b29e5cf5b28c05aaaf363ab5f335aef86a322d3b9fd1b0be75bf9fc51d0db32.png) 具有导航、过滤、搜索、可视化分析和详细结果的交互式离线 HTML 报告。 ### 应用蓝图 ![应用蓝图](https://static.pigsec.cn/wp-content/uploads/repos/cas/54/541f1d923e99a20fa12f62049088385b771a7fb8a5f14ac879e6866fbb376656.png) 可视化已发现的页面、API、技术、关系以及攻击面组件的交互式应用图表。 ### 基础设施蓝图 ![基础设施蓝图](https://static.pigsec.cn/wp-content/uploads/repos/cas/f0/f0fdd7bc6451fcccf9b27eceed69792b98b5cffec34b8f743531a91453d8e20c.png) 连接域名、IP 地址、服务、端口、证书和网络关系的基础设施可视化。 ### HTTP 攻击面 ![HTTP 攻击面](https://static.pigsec.cn/wp-content/uploads/repos/cas/cf/cf978d53f39cb4d149eca28dfcaf1d7c5481736be9b5881aeaa1b8ef8dd67715.png) 包括响应头、安全响应头、技术、重定向和响应元数据的 HTTP 侦察。 ![HTTP 攻击面](https://static.pigsec.cn/wp-content/uploads/repos/cas/7a/7a23a5e476c5993f6c9c897d901b477460c3066c8dba1cb36ce1c84430d7e106.png) 具有 endpoint 分组和响应分类的详细 HTTP Intelligence。 ![HTTP 攻击面](https://static.pigsec.cn/wp-content/uploads/repos/cas/3c/3c28a106329b51d80931680ce31d5769a74338b1c8b8039a30928894bf0172da.png) 突出显示其他应用特征和安全观察结果的扩展 HTTP 分析。 ### Endpoint Intelligence ![Endpoint](https://static.pigsec.cn/wp-content/uploads/repos/cas/8e/8eba55906fbc52bc90c020b4719f02823ec14d8094fe2fe2565f1cf212fb4b59.png) 从 HTML、JavaScript、浏览器流量和应用资产中收集到的已发现应用 endpoint。 ![Endpoint](https://static.pigsec.cn/wp-content/uploads/repos/cas/06/0666b1aa992c95585fa3507a190b093772484ec104ec399bc33729c7e56ef3ee.png) 具有分类路由和其他已发现资源的扩展 endpoint 分析。 ### IP Intelligence ![IP 报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/a1/a185b3cfd3e635a489bb6ea8d5fc25dd3246e288e5387996e6dc877724f791e5.png) 全面的 IP Intelligence,包括 ASN、托管提供商、地理位置、网络所有权和基础设施详情。 ![IP 报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/64/6403da1ea48a51995c7511a6d72cf35f37cdee287b68ced69e6a1836cc5136b7.png) 包含扩展基础设施和安全信息的额外 IP Intelligence。 ### IP 关系 ![IP 关系](https://static.pigsec.cn/wp-content/uploads/repos/cas/75/75f216e0103f5d8a25e375d5a8bfad82eaa66ea790970ce4414635b36bfddab8.png) 将 IP 地址与域名、服务、技术、证书和安全发现连接起来的关系图表。 ### 世界地图 ![世界地图](https://static.pigsec.cn/wp-content/uploads/repos/cas/7b/7b8e284f98197c96a1bd15c73c7efef7ee34ee2a958594abb31617fd5b022d07.png) 显示已分析基础设施大致位置的离线地理可视化。 ### 可视化链路摘要 ![可视化链路摘要](https://static.pigsec.cn/wp-content/uploads/repos/cas/3a/3abfd012f1e8f37a108f95fc4b0c6d8bd1d222b88a64927c924188af78d63093.png) 流量链路概览,说明请求如何从客户端通过应用基础设施传输到源站。 ## 安全 Pamp: - 不需要 API 密钥 - 不需要 `.env` - 在报告中屏蔽敏感值 - 不暴力破解 endpoint - 不尝试破解或解密密钥 ## 免责声明 Pamp 仅用于授权的安全测试、研究和教育目的。 仅在您拥有或获得明确许可评估的系统上使用此软件。
标签:GitHub, Python, 只读文件系统, 字符串匹配, 实时处理, 密码管理, 开源社区, 无后门, 特征检测, 特权检测, 用户定义反射加载器, 自动化侦察, 逆向工具