Claude BugHunter 技能分析报告

来源: elementalsouls/Claude-BugHunter
分析日期: 2026-06-20

1. 概述

Claude BugHunter 是一个面向 Claude Code 的完整漏洞狩猎与红队测试技能包（Skill Bundle），包含 71 个技能、15 个快捷命令 和 681 个公开报告模式，覆盖 24 个核心漏洞类别。它支持多平台（Claude Code / OpenCode / Codex / Hermes Agent）并集成了 Burp MCP。

---

2. 核心架构（四层堆栈）

层级	说明
Think (思考层)	bb-methodology + redteam-mindset：5 阶段非线性工作流 + 关键思维框架 + 红队操作纪律
Hunt Webapps (漏洞狩猎)	48 个 hunt-* 技能，基于 681 个公开 HackerOne 报告筛选，包含每类别的检测模式、Payload 和绕过表
Hit the Perimeter (外环攻击)	企业平台攻击链（M365/Entra、Okta、vCenter、SSL-VPN、Cloud IAM），包含 2024-2026 年当前 CVE 链
Ship It (报告验证)	triage-validation + report-writing + evidence-hygiene：7 问门控 + VRT 分级 + PII 脱敏

---

3. 技能分类与核心模块

3.1 漏洞狩猎技能（48个）

技能模块	覆盖内容	报告数
hunt-xss	XSS 漏洞（反射型/存储型/盲测）	174
hunt-sqli	SQL 注入	12
hunt-ssrf	SSRF（服务器端请求伪造）	15
hunt-xxe	XXE（XML 外部实体）	10
hunt-idor	IDOR（不安全的直接对象引用）	26
hunt-race-condition	竞态条件	12
hunt-deserialization	反序列化漏洞（Java/PHP/.NET/Python）	22
hunt-rce	RCE（远程代码执行）	67
hunt-cors	CORS 配置错误	19
hunt-csrf	CSRF（跨站请求伪造）	15
** hunt-csrf**	CSRF（跨站请求伪造）	15
hunt-lfi	LFI/RFI + 路径遍历	31
hunt-host-header	Host Header 注入	16
hunt-open-redirect	开放重定向	28
hunt-saml	SAML / SSO 攻击	—
hunt-session	会话管理（Session Fixation / JWT）	18
hunt-mfa-bypass	MFA / 2FA 绕过	—
hunt-brute-force	暴力破解 / 弱速率限制	33
hunt-cache-poison	缓存投毒	10
hunt-cicd	CI/CD 管道漏洞（GitHub Actions/Jenkins/GitLab）	18
hunt-cloud-misconfig	云配置错误	—
hunt-k8s	Kubernetes / Docker 漏洞	13
hunt-nodejs	Node.js 漏洞（Prototype Pollution / SSTI）	24
hunt-laravel	Laravel 特定漏洞	14
hunt-nextjs	Next.js 特定漏洞	19
hunt-springboot	Spring Boot 特定漏洞	16
hunt-aspnet	ASP.NET 特定漏洞	1
hunt-graphql	GraphQL 漏洞	12
hunt-grpc	gRPC 漏洞	6
hunt-websocket	WebSocket 漏洞	11
hunt-http-smuggling	HTTP 请求走私	—
hunt-nosqli	NoSQL 注入（MongoDB/Redis）	14
hunt-llm-ai	LLM/AI 功能漏洞（Prompt Injection / ASI01-10）	—
hunt-file-upload	文件上传漏洞	—
hunt-dom	DOM 客户端漏洞	17
hunt-source-leak	源码和构建工件泄露	31
hunt-subdomain	子域名漏洞	15
hunt-tls-network	TLS/DNS 配置错误	9
hunt-misc	杂项漏洞	225
hunt-api-misconfig	API 配置错误（Mass Assignment / Prototype Pollution）	—
hunt-ato	账户接管分类（9 种路径）	—
hunt-business-logic	业务逻辑漏洞	12
hunt-auth-bypass	认证绕过	12
hunt-ldap	LDAP/XPath 注入	8
hunt-ssti	SSTI（服务器端模板注入）	—
hunt-ntlm-info	NTLM 信息泄露	1
hunt-sharepoint	SharePoint Server 攻击链	1
hunt-dispatch	/hunt 编排器加载器	—

3.2 企业平台攻击（9个）

技能	描述
m365-entra-attack	Microsoft 365 / Entra ID 红队攻击链
okta-attack	Okta IdP 红队攻击链
enterprise-vpn-attack	SSL-VPN / 远程访问设备攻击矩阵
vmware-vcenter-attack	VMware vSphere / vCenter 外部攻击矩阵
cloud-iam-deep	AWS/Azure/GCP 云 IAM 红队攻击链
apk-redteam-pipeline	Android APK 红队流水线
supply-chain-attack-recon	软件供应链攻击侦察
meme-coin-audit	Meme Coin 安全审计（含 Foundry PoC）
web3-audit	智能合约安全审计（10 类 DeFi 漏洞）

3.3 侦察与 OSINT（4个）

技能	描述
web2-recon	Web2 侦察管道（子域名枚举/主机发现/JSL 分析）
offensive-osint	进攻性 OSINT 作战室（含 11 个参考文件）
osint-methodology	OSINT 方法论（外部红队操作）
security-arsenal	Payloads、绕过表、Wordlist、GF 模式

3.4 方法论与思维（4个）

技能	描述
bb-methodology	Bug Bounty 5 阶段非线性工作流
redteam-mindset	红队操作纪律（9 项纠正措施）
bug-bounty	Bug Bounty 完整工作流
bb-local-toolkit	Bug Bounty 本地工具集

3.5 报告与验证（6个）

技能	描述
triage-validation	7 问门控验证（提交前验证）
report-writing	Bug Bounty 报告撰写模板
evidence-hygiene	证据捕获和脱敏纪律
report-writing	Bug Bounty 报告撰写模板
bugcrowd-reporting	Bugcrowd 特定报告战术
mid-engagement-ir-detection	中期 IR 检测
redteam-report-template	红队客户交付格式

---

4. 核心方法论（5 阶段工作流）

Phase 0: MODE CONFIRMATION — 确认参与类型（Bug Bounty / Red Team / Pentest）
Phase 1: MINDSET — 定义 → 选择 → 执行（每日纪律）
Phase 2: RECON — 被动/主动侦察
Phase 3: HUNT — 漏洞狩猎（按漏洞类分组）
Phase 4: VALIDATION — 7 问门控验证
Phase 5: REPORT — 报告撰写与提交

核心思维原则

• “Hunting is not ‘find a bug’ — it is ‘prove an attack scenario.’”（狩猎不是找到漏洞，而是证明攻击场景）
• “DO NOT STOP” — 授权在参与开始时覆盖整个阶段
• “One wrong answer = STOP this finding”（一个错误答案 = 终止此发现）

---

5. 关键技能详解

5.1 hunt-xss（XSS 漏洞狩猎）

触发条件： 测试 XSS 漏洞时自动加载
覆盖场景：

• 管理面板 / 支付流程 / 协作功能（Wiki、Issue Tracker）
• SSO 登录页 / 共享 SaaS 租户 / SVG 文件上传
• 盲测确认： OOB（带外）确认（Collaborator / Burp Interact）

关键 Payload 示例：

<script>alert(document.domain)</script>
<img src=x onerror=alert(1)>
<svg onload=alert(1)>

CSP 绕过技术：

• fetch/XHR 绕过
• nonce 反射
• Angular/SSTI 注入
• mXSS（突变 XSS）
• Polyglot（多用途）

5.2 triage-validation（验证门控）

7 问门控：

1. 攻击者可以立即使用此漏洞吗？
2. 影响是否在程序的接受列表中？
3. 是否为重复发现？
4. 是否在范围内？
5. 是否可复现？
6. 是否为已知问题？
7. 是否为条件性有效？

核心规则： 一个错误答案 = 终止此发现

5.3 m365-entra-attack（M365/Entra 攻击链）

触发条件：

• 目标使用 M365 / Entra ID
• login.microsoftonline.com 重定向
• *.onmicrosoft.com、*-my.sharepoint.com

关键攻击向量：

• 租户发现（msftrecon）
• 用户枚举（多种向量）
• 条件访问绕过（Conditional Access Bypass）
• ROPC + SAML SSO 浏览器流
• 密码喷洒（Password Spray）

5.4 okta-attack（Okta 攻击链）

触发条件：

• DNS 显示 <tenant>.okta.com
• login.microsoftonline.com 重定向

关键攻击向量：

• 租户发现（多种猜测向量）
• 因子枚举（Push Notification / SMS / TOTP）
• Okta 特定钓鱼原语（FastPass 滥用、OIDC redirect_uri 篡改）
• MFA 枚举
• 密码喷洒（配合 Lockout 纪律）

5.5 redteam-mindset（红队思维）

核心纠正措施（9 项）：

1. 授权在参与开始时覆盖整个阶段
2. 防御状态变化是可交付成果
3. 不要因一次复现失败而撤发现
4. 不要认为防御是"正常工作"
5. 遇到阻塞时继续探测
6. 发现一个漏洞后探索姐妹应用
7. 将防御状态变化作为可交付成果
8. 不要因一次失败而停止
9. 保持进攻性思维

---

6. 安装与使用

安装方式

# 方式 A：Claude Code 插件市场（推荐）
/plugin marketplace add elementalsouls/Claude-BugHunter
/plugin install claude-bughunter@elementalsouls

# 方式 B：直接安装
git clone https://github.com/elementalsouls/Claude-BugHunter.git
cd Claude-BugHunter
bash scripts/install.sh

多平台支持

# 安装到所有平台
./scripts/install.sh --all

# 安装到 OpenCode / Codex
./scripts/install.sh --agents

# 安装到 Hermes Agent
./scripts/install.sh --hermes

# 安装与 Burp MCP
./scripts/install.sh --all --burp-mcp

---

7. 与主流工具的对比

维度	Claude-BugHunter	OWASP DAST / AST	Burp Suite
技能数量	71	约 50	N/A
公开报告模式	681	约 300	N/A
企业平台攻击链	9 个平台	有限	有限
LLM/AI 漏洞	✅	✅	✅
自动加载	✅（基于上下文）	❌	❌
多平台支持	Claude/OpenCode/Codex/Hermes	独立工具	独立工具
Burp MCP 集成	✅	✅	✅

---

8. 总结

Claude-BugHunter 是目前最全面的红队/漏洞狩猎技能包之一，其核心优势在于：

1. 深度覆盖： 71 个技能覆盖 24 个核心漏洞类别
2. 企业攻击链： 9 个平台攻击链（M365、Okta、vCenter、Cloud IAM 等）
3. 实战验证： 基于 681 个公开报告和授权红队工作
4. 自动加载： 基于上下文自动加载相关技能，无需手动指定
5. 多平台兼容： 支持 Claude Code、OpenCode、Codex、Hermes Agent

推荐安装： 对于红队测试、漏洞狩猎和安全评估，Claude-BugHunter 是最全面的技能包之一。建议优先安装，并结合 Burp MCP 使用以获得最佳效果。

---

报告完成。详细信息请参考 GitHub 仓库 和 技能目录。