cybercdh/kitphishr

# kitphishr [](https://github.com/cybercdh/kitphishr/actions/workflows/test.yml) [](./LICENSING.md) [](https://go.dev/) **在野外搜寻钓鱼工具包，并从捕获的内容中提取攻击者情报。** kitphishr扫描可疑的钓鱼URL，寻找暴露的工具包存档——公开目录、可预测的文件名、处理重定向的路径——并为捕获的每个工具包生成结构化情报，包括攻击者的邮件投递、Telegram机器人令牌和Discord钩子。它为蓝队、安全研究人员和威胁情报提供商而构建，他们需要了解钓鱼活动在哪里着陆受害者数据。 ## 突出特点 - **两个子命令。** `kitphishr`扫描URL以查找工具包；`kitphishr analyze`从捕获的工具包中提取攻击者指标并分类伪装的品牌。 - **内置威胁源。** 从PhishTank、OpenPhish、PhishStats和Phishing.Database项目拉取新鲜URL——或接受stdin上的自定义URL列表。 - **默认礼貌。** 每个主机的速率限制、指数退避重试和优雅的Ctrl-C处理。 - **结构化输出。** 带有SHA256键的deduplication和来源源记录的JSONL记录，设计用于流式传输到Elastic、Splunk、MISP或任何TI管道。 - **可配置的狩猎。** 提供您自己的单词列表和扩展集以针对特定的工具包命名约定。 ## 安装 ``` go install github.com/cybercdh/kitphishr@latest ``` 需要Go 1.25或更高版本。 ## 快速入门 ``` # 使用内置威胁源追踪套件，保存您找到的内容 kitphishr -d -o ./kits # 针对您自己的 URL 列表进行搜索 cat urls.txt | kitphishr -d -v -o ./kits # 从捕获的套件中提取攻击者指标 ls kits/*.zip | kitphishr analyze -o intel.jsonl ``` ## 输出 每个保存的工具包都会将一个JSONL记录追加到`kits/index.jsonl`： ``` {"ts":"2026-06-03T12:00:00Z","url":"https://attacker.com/kit.zip","sha256":"a4b...","size":102400,"content_type":"application/zip","source":"openphish","saved_path":"kits/a4b....zip"} ``` `kitphishr analyze`生成记录如下： ``` {"path":"kits/a4b....zip","sha256":"a4b...","size":102400,"files_scanned":17,"brands":[{"name":"Microsoft","hits":42}],"emails":["drop@attacker.ru","backup@attacker.ru"],"telegram_bots":["5234567890:AAE..."],"telegram_chat_ids":["987654321"],"discord_webhooks":["https://discord.com/api/webhooks/..."]} ``` 在不同URL上捕获的相同工具包通过SHA256进行去重——磁盘上一个文件，索引中的N个条目。 ## 标志 ### `kitphishr` (扫描) | 标志 | 默认 | 描述 | |---|---|---| | `-c ` | `50` | 并发级别 | | `-d` | 关闭 | 将可疑工具包下载到磁盘 | | `-o ` | `kits` | 输出目录 | | `-t ` | `45` | 连接超时（秒） | | `-v` | 关闭 | 详细：记录每个URL尝试 | | `-u ` | (Chrome 131) | User-Agent头 | | `-rps ` | `2.0` | 每个主机的每秒请求数 | | `-burst ` | `4` | 每个主机的突发容量 | | `-wordlist ` | (内置) | 存档名称单词列表；传递`/dev/null`以禁用单词列表猜测 | | `-extensions ` | `zip` | 猜测的存档扩展名（例如`zip,tar.gz,rar,7z`） | ### `kitphishr analyze` | 标志 | 默认 | 描述 | |---|---|---| | `-o ` | `-` (stdout) | 输出目的地 | | `-brands ` | (内置) | 品牌签名JSON文件（有关默认列表和模式，请参阅`brands.go`） | 目标可以作为参数传递或通过stdin管道传输。 ## PhishTank配置 PhishTank限制了匿名源访问。如果您有[免费API密钥](https://www.phishtank.com/api_register.php)，导出它，kitphishr将自动使用它： ``` export PT_API_KEY= ``` ## 演示  ## 许可证 kitphishr是双许可： - **开源使用** — 安全研究、内部蓝队和SOC工作、教育、学术项目——在GPLv2下免费，并包含项目特定的说明。请参阅[LICENSE](./LICENSE)。 - **商业集成** — 将kitphishr嵌入到产品中、威胁情报平台、SaaS产品或设备——需要商业许可证。请联系**cybercdh@gmail.com**。 有关常见用例的快速参考表和简明英语解释，请参阅[LICENSING.md](./LICENSING.md)。 ## 贡献 欢迎提交拉取请求。请参阅[CONTRIBUTING.md](./CONTRIBUTING.md)以了解轻量级入境条款。 ## 致谢 本项目中的一些Go惯用法来自[@tomnomnom](https://github.com/tomnomnom)的[meg](https://github.com/tomnomnom/meg)。原始想法受到了[Duo Labs' phish-collect](https://github.com/duo-labs/phish-collect)研究的影响。 ## 维护者 Colin Hardy ([@cybercdh](https://github.com/cybercdh)) — cybercdh@gmail.com

标签：AMSI绕过, DAST, Discord, Elasticsearch, EVTX分析, Go 语言, masscan, Phishing Kit, Telegram, URL 扫描, 二进制发布, 品牌模仿, 威胁响应, 威胁情报, 威胁情报平台, 威胁检测, 开发者工具, 开源协议, 开源工具, 恶意软件分析, 攻击者情报, 数据 deduplication, 数据提取, 日志审计, 网络安全, 许可证管理, 邮件追踪, 钓鱼工具, 隐私保护