文章总结: HackingTool是一个终端版安全工具集合,将185多个第三方安全工具按信息收集、Web安全、取证、逆向、云安全等20个分类进行统一管理,提供菜单导航、搜索过滤、批量安装和智能更新功能。文档强调该项目仅为工具索引和教学目录,包含DDoS、钓鱼等高风险模块但必须在授权隔离环境中使用,并详细说明了工具风险评估和内部治理的技术要点。 综合评分: 80 文章分类: 安全工具,渗透测试,红队,安全建设,安全意识
HackingTool 工具箱
原创
攻防路 攻防路
攻防录
2026年5月7日 14:51 北京
在小说阅读器读本章
去阅读
HackingTool 是一个终端版安全工具集合。它把常见安全工具按分类放进一个菜单里,提供搜索、标签过滤、推荐、安装状态、批量安装和更新入口。
项目地址: https://github.com/Z4nzu/hackingtool
它覆盖信息收集、Web 安全、取证、逆向、云安全,也包含 DDoS、钓鱼、RAT、Payload、后渗透等高风险类别。本文只介绍项目结构和合规使用方式,不提供攻击模块实操流程。
技术原理
HackingTool 的核心是“工具目录 + 终端菜单 + 安装管理”。
它不是重新实现 185+ 个安全工具,而是把第三方工具的安装、运行、更新和项目入口统一包装起来。用户在主菜单里选择分类,再进入具体工具页查看说明和操作项。
主菜单
从代码结构看,项目分成几块:
| 层级 | 文件 / 目录 | 作用 |
| — | — | — |
| 入口层 | hackingtool.py 、core.py | 终端菜单、输入校验、工具动作 |
| 配置层 | constants.py 、config.py | 版本、路径、主题、本地配置 |
| 工具层 | tools/*.py | 每个分类的工具定义 |
| 安装层 | install.py 、install.sh、Dockerfile | 安装、容器、本地依赖 |
core.py 里定义了 HackingTool 基类。每个工具通常会声明标题、描述、安装命令、运行命令、项目地址、系统要求和标签。菜单里看到的 Install、Run、Update、Open Folder,本质上就是围绕这些元数据做统一包装。
README 里列出了 v2.0.0 的变化:
| 能力 | 说明 |
| — | — |
| Python 3.10+ | 移除 Python 2 代码,使用新语法 |
| OS-aware menus | macOS 自动隐藏 Linux-only 工具 |
| 185+ tools | 35 个新工具分布在 6 个分类中 |
| Search | 输入 / 搜索工具名、描述和关键词 |
| Tag filter | 输入 t 按 osint、web、c2、cloud、mobile 等标签过滤 |
| Recommend | 输入 r,用一句话描述需求后推荐工具 |
| Install status | 每个工具旁显示安装状态 |
| Install all | 每个分类里可用 97 批量安装 |
| Smart update | 自动判断 git pull、pip upgrade、go install 等更新方式 |
| Docker | 本地构建,不依赖未验证外部镜像 |
分类页会把工具名、索引和说明列出来。信息收集分类截图如下:
信息收集分类
工具详情页则提供 Install、Run、Stop、Open Project Page、Back 等动作。
工具详情
这里要注意:统一入口降低了工具管理成本,也放大了误用风险。对安全团队来说,真正要管理的是授权范围、隔离环境、依赖来源和操作记录。
使用场景
工具索引和教学目录
任务示例: 新人需要了解安全工具生态,不知道不同工具属于哪个方向。
技术要点: 先看 README 的 20 个分类和工具表。把工具按信息收集、取证、逆向、Web 审计、云安全、高风险攻击链分组,比直接运行更重要。
授权实验室演练
任务示例: 在自建靶场里演示工具安装、分类检索和安全测试流程。
技术要点: 使用隔离虚拟机,保留命令记录。涉及 DDoS、钓鱼、RAT、Payload 等类别时,只能在本地靶场和授权范围内讨论原理,不做真实目标测试。
工具风险评估
任务示例: 安全团队想判断一个第三方工具集合是否适合纳入内部环境。
技术要点: 先审查 INSTALL_COMMANDS、RUN_COMMANDS、依赖来源和写入路径。重点看是否会执行外部脚本、是否需要 root、是否拉取未固定版本的第三方仓库。
内部工具库治理
任务示例: 团队已有很多零散安全工具,需要统一索引和维护。
技术要点: HackingTool 的菜单、标签、安装状态、Open Folder、Smart update 思路可以参考。但内部落地时要删掉不合规模块,增加审批、日志和版本锁定。
注意事项
- 只在授权范围内使用。
- 不要在生产机直接运行高风险模块。
- 先审查安装命令和依赖来源。
- 涉及网络、账号、无线、Payload、后渗透的模块,要放进隔离环境。
- README 中的工具数量和分类代表索引规模,不代表每个工具都适合当前场景。
往期推荐 📚
anything-analyzer:AI抓包分析器
让 JADX 接上 AI
Hephaestus Desktop:桌面端漏洞扫描新工具
欢迎关注“攻防录”✨
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:攻防录 攻防路 攻防路《HackingTool 工具箱》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论