wormclaude 1.0.84 → 1.0.86

package/dist/commands.js

@@ -15,6 +15,7 @@ import { isLearnEnabled, setLearnEnabled, getLearnFile, getLearnCount } from './
 import { saveMemoryFact, getMemoryPath, loadMemoryContext } from './memory.js';
 import { fetchAccount, getVerifyStatus, submitVerification } from './api.js';
 import { programText, tier } from './program.js';
+import { runPentest } from './pentest.js';
 export const COMMANDS = [
     { name: '/help', desc: 'komutları ve ipuçlarını göster' },
     { name: '/clear', desc: 'sohbeti ve geçmişi temizle' },
@@ -44,6 +45,10 @@ export const COMMANDS = [
     { name: '/izinler', desc: 'onayli shell komutlarini yonet (list/add/remove/clear)' },
     { name: '/program', desc: 'Doğrulanmış Araştırmacı Programı — güven seviyeni göster' },
     { name: '/dogrula', desc: 'Doğrulanmış Araştırmacı başvurusu gönder: /dogrula <profil/şirket/gerekçe>' },
+    { name: '/recon', desc: '[seviye 3+] yetkili hedefte keşif (alt-alan/host/crawl): /recon <alan>' },
+    { name: '/scan', desc: '[seviye 3+] yetkili hedefte zafiyet taraması (nuclei): /scan <url>' },
+    { name: '/xss', desc: '[seviye 3+] yetkili hedefte XSS taraması (dalfox): /xss <url>' },
+    { name: '/sqli', desc: '[seviye 3+] yetkili hedefte SQLi taraması (sqlmap): /sqli <url>' },
     { name: '/export', desc: 'sohbeti dosyaya kaydet' },
     { name: '/resume', desc: 'en son kaydedilen oturumu yükle' },
     { name: '/quit', desc: 'çıkış' },
@@ -101,6 +106,85 @@ function tsStamp() {
     return `${d.getFullYear()}${p(d.getMonth() + 1)}${p(d.getDate())}-${p(d.getHours())}${p(d.getMinutes())}${p(d.getSeconds())}`;
 }
 // Komut yürütücü. true → komut işlendi, false → komut değil (normal mesaj).
+const PT_LABELS = {
+    recon: 'Keşif (subfinder+httpx+katana)', scan: 'Zafiyet tarama (nuclei)',
+    xss: 'XSS (dalfox)', sqli: 'SQL injection (sqlmap)',
+};
+const PT_REASON = {
+    trust_required: 'Bu komut Doğrulanmış Araştırmacı (seviye 3+) gerektirir. Başvuru: /dogrula',
+    scope_required: 'Yetki onayı gerekli.',
+    no_quota: 'Bu ay tarama kotan yok (planını yükselt).',
+    quota_exceeded: 'Aylık tarama kotan doldu.',
+    invalid_target: 'Geçersiz hedef. URL/alan adı ver (örn https://test.com/p?id=1).',
+    unknown_tool: 'Bilinmeyen araç.',
+    auth: 'Giriş gerekli. /config key <anahtar>',
+    timeout: 'Sunucu zaman aşımı.',
+    upstream_error: 'Sunucuya ulaşılamadı.',
+};
+function formatFinding(x) {
+    const sev = x.severity ? `[${String(x.severity).toUpperCase()}] ` : '';
+    if (x.type === 'vuln')
+        return `${sev}${x.name || ''} — ${x.url || ''}`;
+    if (x.type === 'xss')
+        return `${sev}XSS ${x.param ? 'param ' + x.param : ''} — ${x.url || x.poc || ''}`;
+    if (x.type === 'sqli')
+        return `${sev}SQLi ${x.vulnerable ? 'ZAFİYETLİ' : ''} ${x.params ? '(' + x.params.join(',') + ')' : ''}`;
+    if (x.type === 'host')
+        return `${x.status || ''} ${x.url || ''}${x.title ? ' · ' + x.title : ''}${x.server ? ' · ' + x.server : ''}`;
+    if (x.value)
+        return `${x.value}`;
+    return JSON.stringify(x);
+}
+// /recon /scan /xss /sqli — ince runner'ı sürer. Zorunlu yetki onayı + trust 3+ teaser.
+async function pentestCmd(tool, arg, ctx) {
+    const parts = (arg || '').trim().split(/\s+/).filter(Boolean);
+    let scopeAck = false;
+    if (parts.length && /^(onayla|--yes|-y|yes|evet)$/i.test(parts[parts.length - 1])) {
+        scopeAck = true;
+        parts.pop();
+    }
+    const target = parts.join(' ').trim();
+    const label = PT_LABELS[tool] || tool;
+    if (!target) {
+        ctx.note(`${label}\nKullanım: /${tool} <hedef>\nÖrnek: /${tool} https://test.com/sayfa?id=1`);
+        return;
+    }
+    if (!scopeAck) {
+        ctx.note(`⚠️  YETKİ ONAYI GEREKLİ — ${label}\n` +
+            `Hedef: ${target}\n\n` +
+            `Bu tarama hedefe GERÇEK istekler gönderir ve trafik SENİN IP'nden çıkar. Yalnız sahibi olduğun ya da\n` +
+            `yazılı izin/angajman bulunan sistemlerde çalıştır. Yetkisiz tarama yasa dışıdır ve kayıt altına alınır.\n\n` +
+            `Onaylıyorsan tekrar çalıştır:  /${tool} ${target} onayla`);
+        return;
+    }
+    ctx.note(`${label} başlatılıyor — ${target}`);
+    const out = await runPentest(ctx.config, tool, target, true, (s) => ctx.note(s));
+    if (!out.ok) {
+        const r = out.reason || out.plan?.reason || 'error';
+        let msg = PT_REASON[r] || r;
+        if (r === 'quota_exceeded' && out.plan)
+            msg += ` (${out.plan.used}/${out.plan.quota})`;
+        ctx.note(`Tarama yapılamadı: ${msg}`);
+        return;
+    }
+    const rep = out.report || {};
+    const lines = [`✓ ${label} tamamlandı — ${rep.target || target}`];
+    if (out.missing && out.missing.length) {
+        lines.push(`⚠ Kurulu olmayan araç(lar) atlandı: ${out.missing.join(', ')}`);
+    }
+    const f = rep.findings || [];
+    if (!f.length) {
+        lines.push('Bulgu yok (hedef yanıt vermedi, temiz, ya da araç kurulu değil).');
+    }
+    else {
+        lines.push(`${rep.found_count} bulgu:`);
+        for (const x of f.slice(0, 40))
+            lines.push('  ' + formatFinding(x));
+        if (f.length > 40)
+            lines.push(`  … +${f.length - 40} daha`);
+    }
+    ctx.assistant(lines.join('\n'));
+}
 export async function runSlashCommand(input, ctx) {
     const v = input.trim();
     if (!v.startsWith('/'))
@@ -642,6 +726,12 @@ export async function runSlashCommand(input, ctx) {
                 : `Başvuru gönderilemedi: ${res.error}`);
             return true;
         }
+        case '/recon':
+        case '/scan':
+        case '/xss':
+        case '/sqli':
+            await pentestCmd(cmd.slice(1), arg, ctx);
+            return true;
         case '/export': {
             fs.mkdirSync(SESSION_DIR, { recursive: true });
             const file = path.join(SESSION_DIR, `session-${tsStamp()}.json`);

package/dist/pentest.js

@@ -0,0 +1,132 @@
+// WormClaude güvenlik tarama — İSTEMCİ ince runner.
+//
+// Bu modül JENERİK bir çalıştırıcıdır: hiç payload/şablon/araç-seçimi içermez.
+// Sunucudan bir komut PLANI alır, komutları YEREL makinede çalıştırır (trafik kullanıcının
+// IP'sinden çıkar), ham çıktıyı sunucuya geri gönderir. Tüm zeka sunucuda kalır.
+//
+// Güvenlik: yalnız PT_ALLOWED'daki ikililer çalıştırılır (ele geçirilmiş/kötü sunucunun
+// istemcide rastgele komut çalıştırmasını engeller). Komutlar SHELL'siz spawn edilir (enjeksiyon yok).
+import { spawn } from 'node:child_process';
+import { statSync } from 'node:fs';
+import * as path from 'node:path';
+// İstemci-tarafı allowlist (sunucudakiyle aynı; çift güvence).
+export const PT_ALLOWED = new Set(['httpx', 'nuclei', 'dalfox', 'sqlmap', 'subfinder', 'katana', 'nmap', 'ffuf']);
+const MAX_OUT = 200_000;
+// İkiliyi PATH üzerinde çöz. Windows'ta Node spawn(shell:false) PATHEXT aramaz →
+// 'dalfox' verilse 'dalfox.exe'yi bulamaz; bu yüzden elle çözüyoruz.
+// Döner: {path, viaCmd} — viaCmd ise .cmd/.bat olduğu için cmd.exe ile sarılır.
+export function resolveBin(bin) {
+    const isWin = process.platform === 'win32';
+    const exts = isWin ? (process.env.PATHEXT || '.EXE;.CMD;.BAT;.COM').split(';').filter(Boolean) : [''];
+    const isFile = (p) => { try {
+        return statSync(p).isFile();
+    }
+    catch {
+        return false;
+    } };
+    const classify = (p) => ({ path: p, viaCmd: /\.(cmd|bat)$/i.test(p) });
+    // Mutlak/parçalı yol verildiyse doğrudan dene.
+    if (bin.includes('/') || bin.includes('\\')) {
+        if (isFile(bin))
+            return classify(bin);
+        for (const e of exts)
+            if (e && isFile(bin + e))
+                return classify(bin + e);
+        return null;
+    }
+    const dirs = (process.env.PATH || '').split(path.delimiter).filter(Boolean);
+    for (const d of dirs) {
+        const base = path.join(d, bin);
+        if (!isWin && isFile(base))
+            return classify(base);
+        for (const e of exts) {
+            const cand = e ? base + e : base;
+            if (isFile(cand))
+                return classify(cand);
+        }
+    }
+    return null;
+}
+async function postJson(config, p, body, timeoutMs) {
+    try {
+        const r = await fetch(`${config.baseUrl}${p}`, {
+            method: 'POST',
+            headers: { 'Content-Type': 'application/json', ...(config.apiKey ? { Authorization: `Bearer ${config.apiKey}` } : {}) },
+            body: JSON.stringify(body),
+            signal: AbortSignal.timeout(timeoutMs),
+        });
+        const d = await r.json().catch(() => ({ ok: false, reason: 'bad_response' }));
+        if (!r.ok && !d.reason)
+            return { ok: false, reason: `HTTP ${r.status}` };
+        return d;
+    }
+    catch (e) {
+        return { ok: false, reason: e?.name === 'TimeoutError' ? 'timeout' : 'upstream_error' };
+    }
+}
+function runStep(step) {
+    return new Promise((resolve) => {
+        // İstemci allowlist zorlaması — sunucu ne derse desin, izinsiz ikili ÇALIŞMAZ.
+        if (!PT_ALLOWED.has(step.bin)) {
+            resolve({ id: step.id, ran: false, exit: -1, stdout: '', stderr: `engellendi: izinli olmayan ikili "${step.bin}"` });
+            return;
+        }
+        // Windows dahil PATH'te çöz (yoksa = kurulu değil).
+        const found = resolveBin(step.bin);
+        if (!found) {
+            resolve({ id: step.id, ran: false, exit: -1, stdout: '', stderr: `çalıştırılamadı (kurulu değil?): ${step.bin}` });
+            return;
+        }
+        let out = '', err = '', done = false;
+        let child;
+        try {
+            child = found.viaCmd
+                ? spawn('cmd.exe', ['/d', '/s', '/c', found.path, ...step.args], { shell: false, windowsHide: true })
+                : spawn(found.path, step.args, { shell: false, windowsHide: true });
+        }
+        catch {
+            resolve({ id: step.id, ran: false, exit: -1, stdout: '', stderr: `başlatılamadı (kurulu değil?): ${step.bin}` });
+            return;
+        }
+        const to = setTimeout(() => { try {
+            child.kill('SIGKILL');
+        }
+        catch { /* */ } }, Math.max(5, step.timeout) * 1000);
+        child.stdout?.on('data', (d) => { if (out.length < MAX_OUT)
+            out += d.toString(); });
+        child.stderr?.on('data', (d) => { if (err.length < 4000)
+            err += d.toString(); });
+        child.on('error', () => {
+            if (done)
+                return;
+            done = true;
+            clearTimeout(to);
+            resolve({ id: step.id, ran: false, exit: -1, stdout: out, stderr: `çalıştırılamadı (kurulu değil?): ${step.bin}` });
+        });
+        child.on('close', (code) => {
+            if (done)
+                return;
+            done = true;
+            clearTimeout(to);
+            resolve({ id: step.id, ran: true, exit: code ?? -1, stdout: out, stderr: err });
+        });
+    });
+}
+// Tam akış: plan al → yerelde çalıştır → rapor gönder. log() ile ilerleme bildirir.
+export async function runPentest(config, tool, target, scopeAck, log) {
+    const plan = await postJson(config, '/pentest/plan', { tool, target, scope_ack: scopeAck }, 15000);
+    if (!plan.ok)
+        return { ok: false, reason: plan.reason, plan };
+    log(`Plan alındı (${plan.steps.length} adım). Yerelde çalıştırılıyor — trafik senin IP'nden çıkıyor…`);
+    const results = [];
+    const missing = [];
+    for (const s of plan.steps) {
+        log(`  → ${s.bin} ${s.args.slice(0, 3).join(' ')}…`);
+        const r = await runStep(s);
+        if (!r.ran && /kurulu değil/.test(r.stderr))
+            missing.push(s.bin);
+        results.push(r);
+    }
+    const report = await postJson(config, '/pentest/report', { job_id: plan.job_id, results }, 30000);
+    return { ok: !!report.ok, plan, report, missing: [...new Set(missing)] };
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "wormclaude",
-  "version": "1.0.84",
+  "version": "1.0.86",
   "description": "WormClaude CLI - uncensored security+code assistant (ink TUI, Claude-style)",
   "type": "module",
   "bin": {