标签 安全测试 下的文章

[开源] AutoRedTeam-Orchestrator - 给 AI 编辑器装上渗透测试工具箱

项目简介

AutoRedTeam-Orchestrator 是一个基于 Model Context Protocol (MCP) 的 AI 驱动自动化渗透测试框架。

它将 101 个安全工具 封装为 MCP 工具,可与支持 MCP 的 AI 编辑器 (Claude Code, Cursor, Windsurf, Kiro, Claude Desktop) 无缝集成,实现自然语言驱动的自动化安全测试

简单说:配置好之后,直接跟 AI 说「帮我扫描 xxx.com 的漏洞」就行了

image


image


image

项目数据概览

指标数量
MCP 工具101
Payload 库2,000+
测试用例1,461
漏洞检测器19

为什么选择 AutoRedTeam-Orchestrator?

特性传统工具AutoRedTeam-Orchestrator
交互方式命令行记忆自然语言对话
学习成本高(需记忆大量参数)低(AI 自动选择工具)
工具整合手动切换工具101 工具统一接口
攻击链规划人工规划MCTS 算法 + 知识图谱
误报过滤人工验证OOB + 统计学验证
报告生成手动编写一键生成专业报告
会话管理支持断点续传
安全性各工具独立MCP 安全中间件统一防护

为什么做这个?

最早是在用 HexStrike,还参与过二次开发,和 #96 分支作者 Ynee 也有过深入交流。

后来在社区找到了 HexStrike 原作者,但他似乎遇到了一些生活上的困难,项目更新明显放缓了。

与其等待,不如自己动手。正好使用中也积累了一些想法:

  1. 为什么非得在 Kali 上跑? → 做成 Windows 原生,Linux 也兼容

  2. 为什么不能和 AI 编辑器联动? → 基于 MCP 协议,Claude Code 直接调用

  3. 为什么工具这么分散? → 101 个工具整合到一起

于是就有了这个项目。

技术栈 & 兼容性

技术栈

语言 Python 3.10+

协议 MCP (Model Context Protocol)

并发 asyncio / httpx / aiohttp

算法 MCTS 蒙特卡洛树搜索

存储 内存图存储 / SQLite

安全 输入验证 / 速率限制 / 操作授权

已测试支持

CLI 工具:

  • Claude Code (终端)

  • Gemini CLI

  • Codex CLI(道德感严重 )

  • iFlow CLI

IDE / 桌面端:

  • Cursor

  • Windsurf

  • Kiro

  • Claude Desktop

  • VS Code (with MCP extension)

基本上只要能跑 MCP 的 IDE/CLI 都可以用这个项目

结果案例:

image


image


image



codex扫描时间过长我停了,具体各位佬可以重新测试一下

GitHub

GitHub - Coff0xc/AutoRedTeam-Orchestrator: AI-Driven Automated Red Team Orchestration Framework | AI驱动的自动化红队编排框架 | 101 MCP Tools | 2000+ Payloads | Full ATT&CK Coverage | MCTS Attack Planner | Knowledge Graph | Cross-platform

欢迎 Star 和 PR!

免责声明

本工具仅限以下场景使用:

  • 授权渗透测试

  • 红队安全评估

  • 安全研究学习

  • CTF 竞赛

严禁用于:

  • 未经授权测试他人系统

  • 任何非法用途

使用本工具造成的任何法律后果由使用者自行承担。

狗头保命,希望大家合法合规使用~

第一次在 L 站发自己的项目,有问题欢迎回帖讨论,也可以去 GitHub 发 Issue 或者按项目里的邮箱联系我,看到就会回复。

希望大家共同进步,也请各位师傅斧正!

📌 转载信息
转载时间: 2026/2/5 05:19:59

Finger - Burp Suite 自动化指纹识别与主动探测插件
Finger 是一款专为 Burp Suite 打造的模块化指纹识别插件,旨在通过被动流量监控与智能主动探测,快速识别目标站点的技术栈(CMS、框架、中间件、API 接口及敏感路径泄露)。

指纹识别.png


https://github.com/238469/burp-finger
🚀 核心特性
中英文双语支持:内置完善的国际化(I18n)机制,支持中英文界面动态切换,满足不同用户需求。
双模识别:支持被动流量匹配与主动路径探测。
在线规则更新:支持从 GitHub/Gitee 或自定义 URL 实时更新指纹库,并具备“智能合并”功能,在更新官方库的同时保留用户自定义规则。
正则匹配引擎:在传统的字符串匹配基础上,新增正则表达式支持,可对 Header 和 Body 进行更精细的特征提取。
风险提示功能:指纹规则支持 description 描述字段,在识别出指纹的同时,可直接提示关联的敏感路径或潜在漏洞风险。
智能去重机制:
请求级去重:同一 URL 在单次会话中仅进行一次匹配,避免重复扫描。
展示级去重:同一 URL 下的重复指纹会自动压缩显示,保持界面整洁。
智能递归探测:支持多级目录递归扫描,自动向上追溯父级目录,深度可调(0-N)。
精准规则引擎:

规则配置.png


支持 header、body、status、hash (Favicon MurmurHash3/MD5) 多维度匹配。
支持多关键字 AND 逻辑。
支持状态码强校验。
Nuclei 集成:识别指纹后自动生成 Nuclei 扫描标签(Tags),支持右键一键生成 Nuclei 扫描命令。
规则管理:内置 UI 管理界面,支持主动/被动规则过滤、指纹搜索、在线更新、规则导出/导入。
高性能与可配置性:
采用多线程执行、限流保护(Rate Limiting)。
系统配置面板:支持动态调整线程数、每秒发包数(RPS)。
智能过滤:支持全局配置状态码黑名单(如 404, 403)及响应体关键字黑名单,减少无效匹配。
丰富的指纹库:内置 2000+ 指纹规则,覆盖 Spring Boot Actuator、Swagger、GraphQL、常见备份文件、.git/.svn 泄露、主流 Web 编辑器、编程语言、前端框架等。
🛠️ 安装方法
编译项目:
mvn clean package -DskipTests
加载插件:
打开 Burp Suite -> Extensions -> Installed -> Add。
选择 target/finger-1.0-SNAPSHOT-jar-with-dependencies.jar。
配置:
插件加载后会自动在 rules/ 目录下搜索 fingerprints.json。
首次使用建议进入 System Config 标签页配置合适的线程数和过滤规则。
📖 使用指南 1 被动识别
插件会自动监听 Proxy 流量,实时识别经过的所有请求和响应中的技术指纹。识别结果展示在 Finger 标签页的表格中。 2 主动探测
开启/关闭:在 Finger 标签页勾选 Enable Active Scan。
探测深度:通过 Scan Depth 调整递归深度。
0: 仅探测根目录。
1: 探测根目录及当前请求的一级父目录。
触发机制:当正常浏览网页时,插件会根据当前 URL 自动触发对相关敏感路径(如 /actuator/env, .git/HEAD 等)的探测。 3 系统配置 (System Config)

系统配置.png


并发控制:动态设置 Thread Count(建议 10-50)和 RPS(建议 10-100)。
全局过滤:
Exclude Status Codes: 设置不参与匹配的状态码列表(逗号或换行分隔)。
Exclude Body Keywords: 设置包含特定内容时跳过匹配的关键字列表(换行分隔)。 4 Nuclei 集成

nuclei联动.png


在识别结果表格中点击右键,选择 Copy Nuclei Scan Command。
插件会自动根据当前识别到的所有指纹名称,格式化为 Nuclei 的 tags(如 spring-boot,nginx),生成完整的命令行。 5规则管理
内置规则管理器,支持指纹搜索、在线更新、导出自定义规则。

0x1 前言

哈喽,师傅们!

这次又来给师傅们分享我的文章心得了呦,这次是给师傅们分享下js未授权漏洞挖掘的一个小技巧的汇总,然后也是会给师傅们分享几个案例,带师傅们更加深刻的理解和看的懂这个js未授权,然后再带师傅们去挖这个漏洞,从怎么挖去带师傅们掌握这个js未授权。

然后特别是给一些不会挖漏洞,然后针对于FindSomething插件工具的使用来做一个分享,让师傅们对呀FindSomething插件的使用更加娴熟,能够更好的利用这个插件,然后让师傅们挖出属于自己的第一个js未授权漏洞!

0x2 js未授权简介

一、什么是未授权?

首先理解什么是未授权漏洞
未授权字面上理解是未获得授权,对于正常的业务来说,有些功能点需要经过登录之后才能进行,那么如果我们通过一些绕过,无需登录也可以完成此类操作,那么便是未授权访问漏洞了。

二、常见的未授权访问漏洞

常见的未授权漏洞一般分为两种:

  1. 组件类的,如js未授权、redis未授权、mongodb未授权等,也是比较常见的。对于此类漏洞,可以理解为不需要登录即可执行里面的功能,所以存在未授权漏洞。
  2. WEB层面的,如某某CMS未授权文件上传、未授权创建账号、findsomething接口拼接未授权访问敏感信息泄露等。因为可以绕过登录限制进行操作,所以存在未授权访问漏洞。

三、浅谈

未授权访问的挖掘不是针对所有网站,这只是一种思路,通过信息收集来实现登录绕过,从而达到未授权。正常来说可以通过抓包修改返回值也可以达到绕过,前提是不知道网站代码的判断情况下,可以尝试猜解返回值。如果网站后端认证做好了,是不会有该漏洞的。

0x3浅谈 js未授权挖掘技巧

一、常规js未授权挖掘

这里就要和师傅们分享下我之前在没有认真研究js未授权的时候,喜欢的一个针对js的一个测试手法。我相信很多师傅应该都是和我一样的思路,就是大家知道且都非常喜欢使用的一个插件findsomething。就是常见的使用findsomething小熊猫头插件打开,然后把里面的泄露的路径进行拼接使用,然后直接拿bp进行POST/GET方法都进行跑一遍,然后再看看有没有什么js路径拼接,然后导致的敏感信息泄露。

然后把插件泄露的js路径保存到一个txt文件夹里面

然后简单的进行GET/POST跑下

然后跑完以后会发现,怎么还是没跑出什么东西来,然后就这样觉得这个js路径很安全,没有漏洞,直接下了

Google插件FindSomething下载链接:https://chromewebstore.google.com/detail/findsomething/kfhniponecokdefffkpagipffdefeldb

二、使用findsomething插件工具的目的

为了寻找隐藏的接口

JS中存在一些网址或接口信息,特别是隐藏的一些信息,也就是UI中没有的,这些隐藏的 接口很有可能存在各种常见的漏洞,例如越权,未授权等。

如果我们通过JS中的信息构造出完整的隐藏接口和传参,就有可能发现极其隐蔽的漏洞

三、js未授权挖掘小技巧分享

师傅们来看下下面的这个接口,是不是可以看到存在一个id参数,那么你要是直接把这个复制下来,然后去使用bp跑,是不是再怎么跑都跑不出什么信息泄露

然后还有就是下面的这个js接口,findsomething显示出来的接口,一个?id=xxx的一个参数,像碰到这样的,我们是不是得提前进行一个数据的处理,然后再放到bp去跑接口,才会最大可能性让你找到一些敏感信息泄露的接口,这样就是有些师傅挖不到js未授权的漏洞,但是有些师傅却可以的原因之一了

还有下面的这种情况,就是跑js路径的时候,需要我们注意前面是否有前缀

像上面的存在一个#的路径,建议是师傅们单独把这些js路径给拿出来,进行一个手动拼接尝试看看未授权,或者说要爆破,那也得把这个/#/这个给带上,然后再进行一个爆破,下面简单来拿百度的给师傅们看看这个案例

下面可以把findsomething的url复制到一个txt文本里面,然后进行替换如下:

四、查询接口的未授权访问测试奇招

就是我们平常在测试漏洞的时候,有时候不传参,或者在参数置空,发包的时候,对方服务器返回的请求是500的时候,那么有时候使用下面的参数进行一个传参,把这个给加上去,那么有时候会有一个不一样的效果,有时候就能返回一些高权限才可以看的内容

{
"pageNum":"1",
"pageSize":"100"
}


{
"pageNo"1",
"pageSize":100,
}

五、HAE匹配规则

下面是我给师傅们整理的HAE正则匹配,直接使用bp中的hae插件,把下面的规则直接导入到bp插件hae中,或者编辑Rules.yml文件

type:"POST"|type:"GET"|post("|get("|ashx?|ashx|ur1:|ur1:"|ur1:|path:|path:|path:|action?|data|params

0x4 总结

针对js未授权漏洞的一个分享呢就到这里文章就结束了,希望这篇文章对师傅们有帮助。

师傅们在挖掘企业src或者edu过程中,这个js未授权和使用FindSomething插件使用去挖掘漏洞来讲,特别是针对小白师傅们是非常友好的,也是蛮建议师傅们看完我的文章然后去进行一个js未授权的一个漏洞挖掘,这样可以让师傅们更加掌握这个技能,也是希望师傅们偶尔挖挖漏洞,然后赚点赏金什么的。

文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!


0x 01 前言
在日常渗透测试中,总感觉ASP站打起来比较吃力,通常一些比较旧的站都使用ASP.NET WebForms这种类似桌面开发的框架来写Web程序。这类站点在登录界面甚至整个站点都很难见到一些JS文件,也就少了很多测试接口的机会。在没有口令登录的情况下,大大增加了渗透测试的难度。故记录一下一次打穿某ASP站点过程。

0x 02 渗透过程
起手是某学校教务系统的后台,观察路径为/Login,一般路径是大写字母打头的路径都是ASP站点居多,或者可使用Wappalyzer识别一下。

image.png

image.png
简单尝试了弱口令登录,但由于存在验证码限制,只能手工测试了几个常见口令,最终也未能成功登录。没有弱口令,没有JS文件,只能开扫目录,还好没有WAF拦截。
这一扫,还真扫出东西了,/dev目录没删,一看就是开发老哥调试的接口。

image.png
访问/dev,一看我去这不数据库账号密码吗,赶紧扫一下端口,看看数据库有没有开端口到外网。

image.png
简单使用 Goby 进行扫描,发现目标存在 MSSQL 数据库服务,思路逐渐清晰,随即尝试直接连接。

image.png
Navicat启动,发现存在大量师生信息,可惜没有身份证,只有学号、手机号。

image.png
虽然有系统后台账号和密码哈希,但是密码哈希是加盐的,也不好直接爆破。

image.png
回头看看开发老哥还给我留了一手大惊喜,居然有admin账号直接能重置密码,而且重置完密码是多少告诉我了

image.png
重置完,admin/admin成功进入后台管理员。

image.png
随便点点查看一下功能点,发现学生管理地方可以上传头像

image.png

image.png
直接上传asp文件,显示上传文件不合规,先上传正常文件,再抓包修改后缀名,都是一些常见的思路。

image.png
抓包上传后,显示未找到路径,也是十分奇怪,传png文件也是无法找到路径,但是访问路径/Files/Student/1/2025122812201752676661.aspx确实是传上去了。

image.png
直接antSword启动连接,上马成功,点到为止,也没有进行查看服务器其他东西。

image.png
资产测绘上搜索了一下,发现是一个通用的CMS,而且这个开发接口也有很多系统没有删除,想到这种ASP.NET WebForms站点比较旧,后台有SQL注入的概率估计比较高。依旧是代理开起来抓包,后台除了删除和添加数据的功能点都点一点,保证参数都能抓到,再一个个包简单测试一下。
也是十分幸运,/Grade/Report接口下的参数ctl00%24cphMain%24txtWhere单引号报错了,根据参数名猜测应该是拼接到SQL关键字where后面

image.png
刚开始使用SQLMAP还跑不出来,开了level5都没用,思路一下子断了,感觉不太可能注不出来才对,MSSQL相关注入还是学得太少了,有空还是得补补。
简单把报错语句贴给AI,才明白少加了括号闭合,其实后面看报错语句其实很明显,当时估计太激动了。。

image.png
sqlmap -r sql.txt --dbms="mssql" --prefix="')" --level 5 --batch
SQLMAP指定一下前缀--prefix="')"就秒出,看来还是不能太心机,容易头昏脑胀。

image.png
如果一个参数存在注入的话,大概率其他接口这个参数也能注入,开发编写ORM配置基本都是如此,除非是特意修复过,不然出货概率很大,在一堆的Yakit HTTP请求包中直接搜参数ctl00%24cphMain%24txtWhere,果不其然,又找到一个接口/Grade/Report1,除了接口不一样,参数啥基本一致,就不贴了。

0x 03 反思
相比Java站点,ASP.NET WebForms这类站点,在没有口令情况下属实难以动手,但一旦能进入到后台,文件上传很大都没有限制后缀,不像现在一些Java框架,直接在配置文件里面写了限制后缀jsp等,SQL注入出现的概率也会相对高一些。其实看到ASP.NET WebForms框架第一时间想的是打ViewState反序列化,但是貌似开了ViewState MAC(主要还是研究得少,下回系统研究一下),没那么好打。

image.png

0x 04 后续
在资产测绘搜索过程中,发现这个框架存在不少资产,其实也不多就几百个,根据接口批量进行扫描,在其他站点发现了一些其他接口存在SQL注入。首先是在后台有个高级搜索功能,点击之后会有能筛选字段,随便点击进行搜索。

image.png

image.png
使用Yakit抓包发现存在POST请求包,这个包中的很多字段跟前面那个包基本一致,所以也均存在SQL注入,大致FUZZ了一下
ctl00%24cphMain%24txtSearchTitle
ctl00%24cphMain%24txtSearchCreated
ctl00%24cphMain%24txtSearchStart
ctl00%24cphMain%24txtSearchEnd
这些参数均存不同拼接的SQL注入,大致的注入语句都差不多
使用payload:' AND 1/DB_NAME() ='就可以成功注入,这里使用1/xxx,xxx为字符串,这样可以让数据库类型转换失败而导致报错,至于后面拼接=是为了表达式值为bool类型,否则SQL语法会执行不了(根据单引号报错出来的SQL语句以及报错信息),忘了截图。。。

image.png
根据这个高级搜索功能,猜测其他接口也很可能会调用这个接口,毕竟是筛选功能,果不期然,也是找到三四个接口可以直接打,最后报告交上去也是刷了38Rank,可惜教育资产使用这个系统并不多。

image.png

 Sara Martinez 在Online TestConf上的演讲“确保软件安全”中说到,一个安全的软件开发生命周期意味着将安全融入到计划、设计、构建、测试和维护各个阶段,而不是在最后阶段才匆忙添加。测试人员不是漏洞查找者,而是早期的防御者,从第一个冲刺开始构建安全性和质量。文化第一,自动化第二,全程持续测试和监控;她认为,这就是如何让安全成为一种习惯,而不是紧急演练的方式。

 

通用弱点枚举(Common Weakness Enumeration, CWE)统计数据显示,超过 85%的软件弱点来自于我们如何实现代码,大约 60%可以追溯到设计决策。Martinez 说,这意味着产品的基础、架构和构建方式对产品的安全性有着巨大的影响。她补充说,一旦产品上线,就要密切关注它,运行漏洞扫描,并在问题出现时尽快修补,以领先于攻击者。

 

安全的软件开发生命周期看起来很像常规的 SDLC,但每个步骤都内置了安全性,Martinez 解释道:

 

* 它首先定义明确的安全需求,并在规划和设计时运行威胁建模。

* 在开发过程中,遵循安全编码实践,审查依赖关系,并使用安全测试自动化工具或依赖项* 扫描器来尽早捕获弱点。

* 测试超越了 DAST、渗透测试和其他安全检查的功能,以发现真正的攻击路径。

* 一旦产品上线,你就可以通过安全部署、持续监控和快速补丁管理来保证它的安全。

 

Martinez 认为,安全的软件从文化开始,就像质量一样。这不是一个清单,而是关于开发者、测试人员、运维人员和管理人员之间的责任分担:

 

每个公司都应该创建适合其产品的行动计划,查看安全软件开发指南,并确保安全实践是日常工作的一部分。自动化是关键;将安全分析工具引入 CI/CD 管道,以便及早和一致地发现弱点。

 

Martinez 提到不要忘记测试的人为方面:添加与安全需求相关的特定功能测试用例,以便团队保持对诸如弱输入验证、风险角色和权限配置或访问控制等问题的警觉。

 

Martinez 说,许多最严重的事件仍然来自旧的、众所周知的攻击,我们可以通过正确的工具和实践来预防这些攻击。现在,我们面临着新的挑战,比如与 AI 相关的漏洞,它们正在重塑格局:

 

例如,许多公司正在使用 AI 来生成代码,但他们没有扫描它或应用安全开发实践,因此他们最终将已知的漏洞引入到他们的产品中。

 

我学到了很多,但我知道我永远也学不完。安全性是一个移动的目标,安全性测试是一个持续的挑战,这正是使它成为一个如此迷人、不断变化的世界的原因。

 

InfoQ 就软件安全问题采访了Sara Martinez

 

InfoQ:测试人员在安全方面扮演什么角色?

 

Sara Martinez:测试员是我们拥有的最好的安全秘密武器之一。我认为我们的角色不仅仅是检查功能是否有效;我们很容易注意到可能变成大漏洞的小问题,比如弱输入验证、有风险的角色和权限配置,或者访问控制。

 

团队需要在安全软件开发生命周期(SSDLC)中共担安全责任,比如挑战安全需求、帮助进行威胁建模,以及运行静态和动态安全自动扫描以尽早发现问题。测试人员可以通过确保快速验证修复并集成到 CI/CD 中来保持管道中的安全性。

 

InfoQ:我们有哪些关于漏洞和弱点的数据,我们如何使用这些数据?

 

Martinez:像 CWE (Common Weakness Enumeration)和 CVE (Common Vulnerabilities and Exposures)这样的数据标准为我们提供了一种描述软件弱点和现实世界漏洞的共享语言。这些数据不仅仅用于报告;自动化扫描器实际上使用这些引用来检测代码和正在运行的应用程序中的漏洞。

 

我认为这也是发现攻击者趋势的好方法。在过去的几年里,顶级 CVE 一直被跨站点脚本(XSS)和 SQL 注入等问题所主导,这些问题继续影响着很大比例的软件产品。使用这些数据可以帮助团队确定测试的优先级,关注安全编码实践,并对攻击者真正利用的东西保持警惕。

 

https://www.infoq.com/news/2026/01/ensure-software-security/