یک فریمورک ماژولار و داده-محور برای تست نفوذ رباتهای تلگرام، مجهز به دستیار AI و قابلیتهای اسکن چندگانه. این نسخه ، نهایت انعطافپذیری و قدرت را در اختیار تحلیلگران امنیت قرار میدهد.
این ابزار صرفاً برای اهداف آموزشی، پژوهشی و تست نفوذ مجاز طراحی شده است. استفاده از این اسکریپت برای حمله به سیستمها یا رباتهایی که شما مالک آنها نیستید یا مجوز کتبی و صریح برای تست آنها ندارید، غیرقانونی است.
هرگونه استفاده نادرست، غیرمجاز یا مخرب از این ابزار کاملاً بر عهده کاربر است. توسعهدهنده این پروژه هیچگونه مسئولیتی در قبال خسارات احتمالی، سوءاستفاده یا فعالیتهای غیرقانونی ناشی از کاربرد این اسکریپت را بر عهده نمیگیرند. با استفاده از این ابزار، شما مسئولیت کامل اعمال خود را میپذیرید و موافقت میکنید که از آن در چارچوب قانون و اخلاق حرفهای استفاده نمایید.
هشدار: دسترسی غیرمجاز به سیستمهای کامپیوتری یک جرم سایبری محسوب میشود و پیگرد قانونی دارد.
این فریمورک با معماری داده-محور (Data-Driven)، به کاربران اجازه میدهد تا تمام جنبههای تست را از طریق فایلهای خارجی کنترل کنند. این نسخه با تمرکز بر انعطافپذیری، دقت و قدرت، برای تحلیلگران امنیت طراحی شده است.
یکی از ویژگیهای این فریمورک، دستیار هوش مصنوعی یکپارچه آن است. در هر مرحله از تست، برنامه متوقف شده و به شما این فرصت را میدهد که سوالات خود را مستقیماً از AI بپرسید. این قابلیت، ابزار را از یک اسکنر صرف به یک محیط یادگیری و تحلیل تعاملی تبدیل میکند.
از AI چه چیزهایی میتوانید بپرسید؟
- مفاهیم پایه: «Blind SQL Injection چیست و چگونه کار میکند؟»
- پیلودهای پیشرفته: «یک پیلود Command Injection برای دور زدن فیلترهای ساده به من بده.»
- راهکارهای امنسازی: «چگونه میتوانم کد خود را در برابر حملات SQLi مقاوم کنم؟»
- تحلیل و قدم بعدی: «یک جدول users پیدا کردم، قدم بعدی برای نفوذ چیست؟»
این ویژگی به شما کمک میکند تا نه تنها آسیبپذیری را کشف کنید، بلکه آن را عمیقاً درک کرده و بهترین راهکار را برای بهرهبرداری یا امنسازی پیدا کنید.
- معماری داده-محور: تمام پیلودهای حمله برای SQL Injection و Command Injection از فایلهای متنی خارجی (
sqli_payloads.txt,cmd_payloads.txt) خوانده میشوند. - فریمورک چند-آسیبپذیری: پشتیبانی داخلی از SQL Injection و OS Command Injection.
- تکنیکهای تست ترکیبی: استفاده هوشمند از روشهای Boolean-Based و Time-Based برای افزایش دقت.
- استخراج کامل دادهها: قابلیت استخراج تمام رکوردهای جداول آسیبپذیر تا سقف تعیینشده در فایل کانفیگ.
- پیکربندی کاملاً خارجی: تمام تنظیمات، لیست کلمات و پیلودها از فایلهای خارجی خوانده میشوند.
- منوی تعاملی: کاربر میتواند نوع تست مورد نظر خود را از یک منوی هوشمند انتخاب کند.
- دستیار هوش مصنوعی یکپارچه: قابلیت دریافت مشاوره در لحظه برای درک بهتر آسیبپذیریها.
- مدیریت خطای پیشرفته: کنترل هوشمند خطای
FloodWaitErrorتلگرام برای تضمین پایداری در اسکنهای طولانی.
- Python 3.7+
- یک حساب کاربری تلگرام
۱. پروژه را از گیتهاب کلون کرده و وارد پوشه آن شوید. ۲. وابستگیها را نصب کنید:
pip install -r requirements.txtمحتوای فایل requirements.txt:
telethon
rich
thefuzz
requests
۳. پیکربندی (مهمترین مرحله):
- فایل
config.json: مقادیرAPI_IDوAPI_HASHتلگرام و آدرسWORKER_URLمربوط به دستیار AI خود را در این فایل قرار دهید. - فایل
sqli_payloads.txtوcmd_payloads.txt: این فایلها قلب تپنده فریمورک هستند. شما میتوانید پیلودهای خود را با فرمت مشخصشده به آنها اضافه کنید تا قدرت تست ابزار را افزایش دهید.
اسکریپت را بدون هیچ آرگومان ورودی اجرا کنید:
python TBPenter.py۱. برنامه در ابتدا نام کاربری ربات هدف را از شما میپرسد.
۲. پس از اتصال موفق، منوی اصلی تست نمایش داده میشود که میتوانید نوع اسکن (کامل، فقط SQLi، یا فقط Command Injection) را انتخاب کنید.
۳. پس از انتخاب نوع اسکن، برنامه الگوی دستور برای تزریق را از شما میخواهد. حتماً از {} برای مشخص کردن محل تزریق پیلود استفاده کنید (مثال: /search {}).
۴. فرآیند تست بر اساس پیلودهای موجود در فایلهای خارجی آغاز میشود.
۵. پس از اتمام تست(ها)، میتوانید از منو گزینه "Generate Report & Exit" را برای ذخیره یافتهها در یک فایل JSON انتخاب کنید.
این پروژه یک بستر عالی برای یادگیری و توسعه است. شما میتوانید با افزودن موارد زیر در آن مشارکت کنید:
- ماژولهای تست جدید: افزودن تستهایی برای IDOR, XSS, Path Traversal.
- پیلودهای بیشتر: غنیسازی فایلهای
sqli_payloads.txtوcmd_payloads.txt. - بهبود گزارشدهی: افزودن قابلیت گزارشدهی در فرمت HTML.
این پروژه تحت مجوز MIT منتشر شده است.