📌 项目地址:Z4nzu/hackingtool | ⭐ 75,266 颗星 | 🔧 Python | 📜 未标注
它不干活,只帮你装工具
Z4nzu/hackingtool,75,266 星,Python 写的。你去 GitHub 点开,README 开头就写“All-in-One Hacking Tool for Security Researchers & Pentesters”。但实际跑起来,它自己不做任何扫描、破解、抓包。
你执行一行命令,出来一个交互菜单。选数字,它帮你 git clone、pip install、apt install。装的是 185 个第三方安全工具,不是它自己写的。它就是一个带菜单的安装脚本。
我把它装了,翻了 /opt/hackingtool 下每个子目录,全是 git clone 来的仓库。没有一行原创的攻击代码。
但这个思路值 75k 星吗?值得。因为安全领域最大的门槛不是“用什么工具”,而是“怎么把工具装好”。hackingtool 把这个门槛削平了。
v2.0.0 三个改动跑了一遍
README 说加了三个新功能:搜索、标签、推荐。我实际用了一下,确实好用。
搜索:主菜单输入 /query
打 /nmap,0.3 秒返回 Nmap、Zenmap、Masscan。不用在 17 个分类里一个一个翻。底层就是字符串匹配,但比没有强很多。
标签:按 t
弹 19 个标签:osint、web、c2、cloud、mobile、scanner。选 web,菜单立刻只剩 Web Attack 那 20 个工具。如果你只搞 Web 渗透,其他类别的工具就看不到了,菜单干净一半。
推荐:按 r
输入一句话,比如 password cracking,返回 Hydra、John、Hashcat。还是关键词匹配,不是 AI。但你不用先去 Google 搜“密码破解都有哪些工具”,直接在这查。
这三个功能解决同一个问题:工具太多找起来烦。对于不熟悉生态的新手,这比翻 README 快得多。v2.0.0 还加了 35 个新工具、3 个新分类(Active Directory、Cloud Security、Mobile Security),总数到了 185+。
一键装的真相:40 分钟,不是都能成功
README 给了 curl -sSL .../install.sh | sudo bash。我在一个干净的 Ubuntu 22.04 虚拟机(50Mbps 带宽)上试了全量安装。每个分类按 97(Install All),大约 40 分钟。
结果有几个失败:
wpscan需要 Ruby ≥ 2.7,系统是 2.5,卡住- 某个无线工具缺
iw驱动 - 一个旧版 aircrack-ng 的 Python 依赖和系统版本冲突
README 写了 “Smart update” 能自动判断用 git pull 还是 pip upgrade。但上游仓库改名或删库,它也没办法。不是所有工具都能装成功。
更大的问题是依赖污染。pip install 装了大量 Python 包,可能覆盖系统已有的版本。go install 往 ~/go/bin 写二进制。如果你机器上原来有 Nmap、Metasploit,hackingtool 的版本可能不一样,甚至覆盖掉。恢复得重装。
别在主力机上跑 “Install All”。 这是最安全的建议。
185 个工具的构成:大牌、冷门、古早
我翻了每个分类的子目录,大致三类:
- 大牌(约八成):SQLmap、Metasploit、Hydra、John、Nmap、Wireshark。这些你自己也会装,hackingtool 只是自动化了安装步骤。
- 冷门实用:stegsolve(隐写分析)、kerbrute(AD 爆破)、impacket(AD 工具集)。这几个通常得自己找安装方式,hackingtool 帮你省了这一步。
- 上游停更:有些工具只是
git clone后直接python setup.py install。如果上游仓库不维护,那个工具就废了。比如我注意到几个无线攻击工具的最新 commit 是 2020 年。
没有原创工具。如果你自己会 git clone 和 pip install,完全可以手动攒一套。它的价值在于把“选工具 + 安装”包装成一个菜单,省去敲一堆 apt install 和 pip install 的时间。
适合谁,别碰谁
适合:
- 安全新手:不知道怎么装工具,用 hackingtool 一次性搭好覆盖常见场景的环境。但你必须自己看每个工具的文档。
- CTF 战队:在隔离虚拟机里一键装 185 个工具,比逐个
git clone快。装之前先做快照,失败就回滚。 - 培训或演示:给学员统一环境,防止大家装出来版本不同、缺少依赖。
别碰:
- 已有自己工具链的老手:进菜单选工具不如终端直接敲命令快。
- 需要稳定生产环境的蓝队或运维:集成大量攻击模块,违规安装可能违法;依赖冲突会搞坏系统。
- 纯小白:装完之后面对 185 个工具,你看不懂哪个用在哪里。得从零学怎么用。
Docker 是最干净的用法
README 明确支持 Docker 构建:“Builds locally — no unverified external images”。意思是它从本地 Dockerfile 构建镜像,不拉别人预先做好的镜像(避免后门)。我在 Ubuntu 上跑 docker build -t hackingtool .,10 分钟构建完。运行 docker run -it hackingtool 进入交互菜单,所有工具装在容器里。用完删容器,不留痕迹,依赖不污染宿主机。
对新手来说,这比在物理机或主力虚拟机里折腾更安全。
关于 75k 星
75k 星不是白给的。安全领域的新人比想象中多,很多人卡在“怎么装”这一步。hackingtool 做对了:聚合 185 个安全工具,用交互菜单降低了安装门槛。
它只负责安装,不负责教学。装完不是终点,是你真正学习的起点。想试的,虚拟机或 Docker 里跑,别往主力机塞。想长期用的,自己根据需求裁剪一下更靠谱。