Agent Skills
› Unclecheng-li/VulnClaw
Unclecheng-li/VulnClaw
GitHub针对AI、Agent、MCP等组件的安全评估Skill,覆盖Prompt注入、工具滥用、权限逃逸、数据泄露及模型风险。通过场景路由指引测试流程,提供应用层至部署层的全面攻击面分析。
安装全部 Skills
npx skills add Unclecheng-li/VulnClaw --all -g -y
集合内 Skills (16)
针对AI、Agent、MCP等组件的安全评估Skill,覆盖Prompt注入、工具滥用、权限逃逸、数据泄露及模型风险。通过场景路由指引测试流程,提供应用层至部署层的全面攻击面分析。
目标包含LLM、Agent或MCP工具
涉及Skills、RAG、Memory或Plugin安全评估
需要评估模型服务组件的安全性
npx skills add Unclecheng-li/VulnClaw --skill ai-mcp-security -g -y
用于处理客户端逆向与Burp重放。涵盖安卓App、浏览器JS及桌面客户端场景,通过Packet-First原则捕获流量,定位签名加密逻辑,解决反自动化阻塞,实现稳定请求重放与安全测试。
客户端请求包含签名或加密导致无法直接重放
需要进行安卓App渗透测试且抓包受阻
需要分析浏览器JS签名或反爬逻辑
需要逆向桌面客户端本地签名函数
npx skills add Unclecheng-li/VulnClaw --skill client-reverse -g -y
面向渗透测试与CTF的编解码及加解密工具Skill。支持Base64/Hex/JWT等编码识别与链式解码,MD5/SHA哈希处理,AES/RSA等对称非对称加密,以及古典密码破解。核心原则为优先调用crypto_decode工具自动或手动解码,确保结果合理性。
遇到Base64、Hex、URL编码等字符串需要解码
需要计算MD5、SHA等哈希值
进行AES、RSA等加解密操作
解析JWT Token
破解ROT13、Caesar等古典密码
npx skills add Unclecheng-li/VulnClaw --skill crypto-toolkit -g -y
CTF密码学实战攻击知识库,涵盖RSA、AES、ECC、PRNG及格攻击等。提供具体参数、公式与Python代码,辅助识别加密体系并执行针对性攻击,区别于基础编解码工具。
CTF密码学题目解题
需要特定密码学攻击方法(如RSA小指数、Padding Oracle)
分析加密算法弱点
npx skills add Unclecheng-li/VulnClaw --skill ctf-crypto -g -y
CTF杂项实战知识库,覆盖沙箱逃逸、编码链识别、隐写术及VM逆向等题型。提供场景路由与快速判题指南,辅助解决Python/Bash Jail、多层编码、二维码/音频隐写、游戏二进制逆向、CTFd平台操作及Linux提权问题。
CTF Misc题目求解
沙箱逃逸技巧查询
多层编码解码分析
隐写术技术求助
CTFd平台API使用
npx skills add Unclecheng-li/VulnClaw --skill ctf-misc -g -y
CTF Web实战知识库,提供PHP弱比较、命令注入绕过、SSTI、反序列化等具体Payload与审计Checklist。强调精确值验证与工具实测,区别于渗透测试方法论。
CTF Web题目解题
PHP伪协议文件包含利用
代码审计与漏洞挖掘
特定绕过技巧查询
npx skills add Unclecheng-li/VulnClaw --skill ctf-web -g -y
根据侦察获取的服务版本信息,调用cve_lookup工具查询并筛选已知CVE。通过CVSS评分、可利用性及目标暴露面进行优先级排序,验证版本适用性后记录发现,辅助漏洞验证决策。
从服务Banner或Header中识别出产品名称和版本号
需要评估已发现软件版本的潜在安全风险
npx skills add Unclecheng-li/VulnClaw --skill cve-triage -g -y
HackerOne赏金项目范围守卫技能。解析并强制Program Scope与规则,将In-scope资产逐一委派给pentest-flow执行渗透测试,严禁触碰Out-of-scope资产及违反安全红线。
用户请求对HackerOne赏金项目进行渗透测试准备
用户提供HackerOne Program链接或Scope数据需要解析
npx skills add Unclecheng-li/VulnClaw --skill hackerone -g -y
用于内网渗透测试,涵盖横向移动、凭据窃取、提权、持久化及AD/ADCS攻击。需已获初始访问权限,提供场景路由与标准化测试流程,指导从信息收集到隧道代理的完整操作。
内网渗透测试
横向移动
域环境攻击
权限提升
持久化维持
npx skills add Unclecheng-li/VulnClaw --skill intranet-pentest-advanced -g -y
OSINT开源情报收集知识库,提供服务器、网站、域名及人员四维侦察模型。支持端口扫描、指纹识别、源码泄露检测及条件触发的社会工程学追踪,生成结构化Markdown报告。
需要深度OSINT情报收集
进行全方位网络侦察
涉及社会工程或人员信息追踪
npx skills add Unclecheng-li/VulnClaw --skill osint-recon -g -y
提供渗透测试中常用工具的选型与命令速查,涵盖编码、红队、漏洞利用、内网、提权等14类场景,辅助快速回忆参数和筛选工具,不替代方法论。
已知漏洞类型需选择对应工具
忘记特定渗透工具的具体使用参数
需要快速对比同一任务下的多个候选工具
npx skills add Unclecheng-li/VulnClaw --skill pentest-tools -g -y
用于渗透测试中路由明确后的快速Payload查找与验证顺序确认。涵盖Web注入、认证逻辑、AI/MCP及CTF专项速查,提供绕过方向与常见测试卡片,不替代方法论决策。
已知漏洞类型需快速筛选Payload
需要确认JWT、SSRF等特定技术验证顺序
CTF题目遇到PHP弱比较或RSA攻击场景
npx skills add Unclecheng-li/VulnClaw --skill rapid-checklist -g -y
提供Web应用渗透测试全流程,涵盖技术栈识别、目录枚举、认证与输入验证测试、逻辑漏洞检测及报告生成。
Web应用安全评估
渗透测试执行
漏洞扫描请求
npx skills add Unclecheng-li/VulnClaw --skill web-pentest -g -y
面向Web应用、API及网关的系统性高级安全测试Skill,覆盖注入、协议、认证逻辑、文件及部署安全。通过场景路由指引参考文档,侧重渗透方法论,CTF场景建议复用ctf-web。
Web应用或API系统漏洞测试
网关或浏览器面向服务的安全评估
需要执行完整渗透测试Playbook
npx skills add Unclecheng-li/VulnClaw --skill web-security-advanced -g -y
安卓应用渗透测试技能,遵循运行态优先原则。通过ADB、Burp抓包和Frida Hook进行自动化探索与深度分析,最后才进行逆向,输出包含漏洞证据的专项报告。
安卓App渗透测试
APK安全分析
Android抓包Hook
npx skills add Unclecheng-li/VulnClaw --skill android-pentest -g -y
Web与AI安全测试知识库,集成WooYun、先知、GAARM及OWASP数据。针对渗透、CTF等实战场景,提供精准漏洞挖掘与利用指引。严格区分假设与确认,强制引用参考文件以防范幻觉,确保输出合规且可追溯。
用户执行渗透测试、漏洞挖掘或红队攻防任务
进行CTF竞赛解题或SRC安全审计
涉及AI/LLM安全测试如Prompt注入、越狱或沙箱逃逸
用户明确提供目标(URL/代码/模型)并意图为测试或利用
npx skills add Unclecheng-li/VulnClaw --skill secknowledge-skill -g -y


