找回密码
 立即注册
搜索

220+安全工具+AI渗透助手,Windows下零依赖的渗透测试

作者:admin | 时间:2026-4-21 05:44:03 | 阅读:131| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
该工具专为运维和安全检查和学习研究设计,类似于软件商城,可以实现工具下载、更新,并提供自动化安装脚本。内置了HexStrike-Ai可以通过AI调用里面工具实现自动化扫描。不用担心工具无法正常运行配置,提升效率。
集成了类型工具如下:
🛡️ 运维&防守工具:应急响应、内存马查杀、日志分析、流量抓包、代码审计、反编译/逆向
🔎 信息收集工具:子域名探测、端口扫描、指纹识别、目录扫描、资源发现、信息泄露
💥 漏洞利用工具:中间件/CMS/框架漏洞、OA/应用漏洞、Webshell管理、漏洞扫描、数据库漏洞、XSS漏洞

🆕 0.13.x更新新增
该版本界面没有做太大的更新,但后台代码改动较大,优化了部分底层逻辑。HexStrike-AI 本身不支持 Windows 系统,依赖 Linux 环境运行,通过修改HexStrike-Ai代码最终实现了windows版本。
  • 1. HexStrike AI 已经深度集成,渗透自动化
  • 2. 自动识别拖拽添加自定义工具
🗂  程序大小 d3198cc58683b7d1553903c80dd11e6e.jpg 🖥️ 集成 AI 渗透助手
目前 AI 已集成常用安全工具,后面你们可以通过点击更新获取最新版AI工具集成配置文件,已支持自动化调用浏览器进行访问与探测
注意:如果不是下载打包版,程序会检测 Python 3.11 环境,如未安装会提示下载,按照提示点击下载即可
44c9aa0743ae29097ba36aca437fda0a.jpg
HexStrike-Ai的服务端已经启动,我这边演示使用Cherry Studio
添加MCP服务
3cab156c3d1f411cd21bf1567d12b957.jpg
复制添加进去
e960eabfd3e9738ac103048242d973b9.jpg
然后点击启动
d23046e34f9fd92089181955468ac64c.jpg
启动成功
3ff7b76d2d459ef4b78df6da45ee5a4e.jpg
开始渗透测试
选择MCP服务
0d3ab83f254a753bd34c632ad728fd35.jpg
我给AI发一段:使用HexStrike AI帮我探测www.zssnp.top是什么网站。网站用的是什么框架
看一下结果,探测网站已经使用了
  • • HexStrike AI : analyze_target_intelligence
  • • HexStrike AI : detect_technologies_ai
  • • HexStrike AI : httpx_probe
  • • HexStrike AI : browser_agent_inspect
f4a3c96310e322341b8fd85506e3c5e1.jpg 846bcee0293e0f375ab43fcd41a01f00.jpg
局域网探测
00ecfb68b13769cfd6906feb53e9161c.jpg 📦目前已集成 220+ 安全工具 6107fdead7710c84fa9a1ba177efb4e6.jpg 2c02433a0a43baf0d105e6ec463d1d07.jpg 🚀 支持拖拽,极简工具箱管理
不再需要修改配置文件
  • • 自定义工具:支持拖拽文件直接添加新工具
  • • 灵活配置:一键修改工具参数、图标和运行环境
816e5115dfc16e4d3cea20a54f051357.jpg b8a7ffbd672145efa5c11d1c7e29ba70.jpg
☁️  工具自定义服务器(可自由扩展)
如果你有自己的服务器,可以将工具包自行上传,让平台从你的私有服务器下载,实现私有化部署。
配置文件路径:
storage/toollist.json
其中有一个 custom 字段,只需把你的工具包 URL 填进去即可
3990715f2c6400129ac5fff8f69030c1.jpg
📌 注意:服务器中的文件夹名称必须与工具名一致,否则无法识别
cca79221847811e6b44ed236e893dedd.jpg 📣 自定义工具格式(可自由扩展)
配置文件说明:
  • • storage/pluginlist.json:存储选项卡设置、插件信息、图标配置等
  • • storage/toollist.json:存储所有工具的名称、版本等详细信息
例如:toollist.json文件
68a21d8a59db47dea38c05ffdcc6e17e.jpg
注意:中文要Unicode编码不然会报错
"VulnerabilityScanning":{// 工具分类
"POC-bomber":{
"position":[1,70],// 可选,兼容老版本的位置信息
"environment":"Python38",// 运行环境要求
"version":"3.0.0",// 工具版本
"commandLine":"True",// 是否显示命令行界面
"official":"https://github.com/tr0uble-mAker/POC-bomber",// 官方地址
"introduce":"漏洞检测工具",// 工具介绍
"r":"",
"custom":""// 自定义下载地址
}
}
AI终端实现原理
hexstrike_server的源码:https://github.com/CuriousLearnerDev/Online_tools/blob/master/hexstrike_server.py
独立 Python 环境隔离
在storage文件夹有一个tools_config.json文件主要负责一次性加载工具箱里面的工具,程序会根据这个文件去加载
我们的工具采用了 完全隔离的 Python 3.11 运行环境:
storage/
  ├── Python311/          # 独立的 Python 3.11 环境
  │   ├── python.exe      # 专用解释器
  │   └── Lib/            # 独立的依赖库
  ├── hexstrike_server.py # HexStrike AI Server
  └── hexstrike_mcp.py    # MCP 客户端
关键优势:
  • • ✅ 不污染系统 Python 环境
  • • ✅ 避免版本冲突(工具用 Python 3.8,AI 用 Python 3.11)
  • • ✅ 一键下载,自动配置
动态端口分配机制defget_free_port():
"""获取随机可用端口,避免 8888 端口被占用"""
with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
        s.bind(('', 0))
return s.getsockname()[1]
PowerShell 终端集成
通过 QProcess 启动独立的 PowerShell 进程,实现:
# 启动用户交互终端
self.terminal_process.start("powershell.exe", [
"-NoLogo",
"-NoExit",
"-Command",
"$OutputEncoding = [Console]::InputEncoding = [Console]::OutputEncoding = [System.Text.Encoding]::UTF8"
])

# 启动 HexStrike Server(后台进程)
server_cmd = f"& '{python311_exe}' '{hexstrike_server.py}' --port {random_port}"
self.server_process.start("powershell.exe", ["-NoLogo", "-NoExit", "-Command", server_cmd])
工具路径自动注入
通过 tools_config.json 配置文件,自动为 PowerShell 注入工具别名:
{
"tools":{
"Sqlmap":{
"path":"storage/sqlmap",
"script":"sqlmap.py",
"type":"python",
"aliases":["sqlmap"]
},
"Nmap":{
"path":"storage/nmap",
"executable":"nmap.exe",
"type":"exe",
"aliases":["nmap"]
}
}
}
生成的 PowerShell 函数:functionsqlmap {
$o=Get-Location;
cd'D:\...\storage\sqlmap';
    & 'python''sqlmap.py' @args;
cd$o
}
这样,用户在终端中直接输入 sqlmap -u "http://target.com" 就能调用工具,无需手动配置路径。
MCP 协议通信┌─────────────────┐         MCP Protocol         ┌──────────────────┐
│  AI 客户端      │ ◄─────────────────────────► │  HexStrike Server │
│  (hexstrike_mcp)│   (JSON-RPC over HTTP)      │  (hexstrike_server)│
└─────────────────┘                              └──────────────────┘
                                                          │
                                                          │ 调用工具
                                                          ▼
                                                  ┌──────────────┐
                                                  │  渗透工具集   │
                                                  │ (Nmap/Sqlmap) │
                                                  └──────────────┘
通信流程:
  • 1. AI 客户端发送自然语言指令
  • 2. HexStrike Server 解析指令,生成工具调用命令
  • 3. Server 执行命令并返回结果
  • 4. AI 分析结果,提供下一步建议
兼容老版本
如果已经下载使用老版本,下载新版本解压覆盖即可
1ee88b6dcd6d3dfd4b2e510633d1bac4.jpg 8b702bb3e3ca8c48daf1a4fc5cdc49d0.jpg
您需要登录后才可以回帖 登录 | 立即注册
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagram 账户可能遭到入侵
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中
新型 Gaslight macOS 恶意软件利用提示注入
一种此前未被记录的基于 Rust 的 macOS 植入程序和信息窃取器被发现嵌入了提示注入载
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案
日本能源公司丢失存储有 1090 万客户数据的
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一
The Gentlemen 勒索软件声称有 478 名受害
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属
Silent Ransom Group 通过虚假 IT 支持电话
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针
思科预警 2026 年第 7 个 SD-WAN 零日漏洞
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
CISA 将正在被利用的 SolarWinds Serv-U Do
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器