本项目为好靶场开源的MCP框架,大家可以基于本项目开发自己的安全工具网关,实现自动化安全测试。

本项目是GPL 协议开源,欢迎大家 fork 和贡献。

HBC_SEC_MCP 是一个安全工具网关,将传统命令行安全工具包装为现代化的 MCP 服务。它实现了 MCP JSON-RPC 2.0 协议,让 AI 客户端能够以标准化的方式发现并调用安全测试能力。

思路参考:https://github.com/Wh0am123/MCP-Kali-Server

注意,切勿开放在公网,不使用execute_command功能删掉Tools里的command_exec_tool.py文件

核心技术栈

  • Flask - Web 服务框架,提供 HTTP API
  • MCP Protocol - Model Context Protocol 协议实现
  • SQLMap - 集成 SQL 注入检测工具
  • Python 3 - 主要开发语言

功能特性

已实现工具

工具名称 功能描述 调用方式
sqlmap_scan SQL 注入自动检测 MCP / HTTP API
execute_command 通用命令执行 MCP / HTTP API

API 端点

端点 方法 功能
/ GET/POST MCP 主入口 / 服务信息
/api/tools/sqlmap POST 直接执行 SQLMap 扫描
/mcp/tools/HBC-Sec_mcp_tools/<tool> POST 统一工具调用入口
/health GET 健康检查
/mcp/capabilities GET 服务能力发现

快速开始

安装依赖

pip install -r requirements.txt

启动服务

# 默认启动
python server.py

# 指定端口和调试模式
python server.py --port 5000 --debug

# 绑定所有 IP
python server.py --ip 0.0.0.0 --port 8080

API 调用示例

SQLMap 扫描
curl -X POST http://localhost:5000/api/tools/sqlmap \
  -H "Content-Type: application/json" \
  -d '{
    "url": "http://example.com/vuln.php?id=1",
    "data": "username=test&password=test",
    "additional_args": "--level=2 --risk=1"
  }'
通用命令执行
curl -X POST http://localhost:5000/mcp/tools/HBC-Sec_mcp_tools/execute_command \
  -H "Content-Type: application/json" \
  -d '{
    "command": "nmap -sV 127.0.0.1"
  }'
MCP 协议调用
curl -X POST http://localhost:5000/ \
  -H "Content-Type: application/json" \
  -d '{
    "jsonrpc": "2.0",
    "id": 1,
    "method": "tools/call",
    "params": {
      "name": "sqlmap_scan",
      "arguments": {
        "url": "http://example.com/test.php?id=1"
      }
    }
  }'

项目结构

HBC_SEC_MCP/
├── server.py              # Flask 服务主入口
├── requirements.txt       # 项目依赖
├── .gitignore            # Git 忽略规则
├── README.md            # 项目说明文档
├── app/
│   ├── __init__.py
│   ├── config.py          # 配置常量
│   ├── mcp_protocol.py    # MCP 协议实现
│   ├── tool_dispatcher.py # 工具调度器
│   ├── command_executor.py # 命令执行封装
│   ├── logging_setup.py   # 日志配置
│   └── tools/
│       ├── __init__.py
│       ├── base_tool.py       # 工具基类
│       ├── sqlmap_tool.py     # SQLMap 集成
│       ├── command_exec_tool.py # 命令执行工具
│       └── _tool_template.py  # 新工具开发模板
└── log/                   # 运行日志目录

开发新工具

参考 app/tools/_tool_template.py 模板,继承 BaseTool 基类实现新工具:

from typing import Any, Dict
from .base_tool import BaseTool

class MyNewTool(BaseTool):
    name = "my_new_tool"
    description = "描述工具功能"
    input_schema = {
        "type": "object",
        "properties": {
            "param1": {"type": "string"},
        },
        "required": ["param1"],
    }

    def run(self, params: Dict[str, Any]) -> Dict[str, Any]:
        # 实现工具逻辑
        return {"success": True, "result": "执行结果"}

配置说明

编辑 app/config.py 修改服务配置:

  • API_PORT - 服务监听端口(默认:5000)
  • DEBUG_MODE - 调试模式开关
  • TOOL_SQLMAP_SCAN - SQLMap 工具名称常量

依赖要求

  • Python 3.8+
  • Flask >= 3.0.0
  • requests >= 2.31.0
  • mcp >= 1.0.0

使用场景

  1. AI 安全助手 - 让 AI 能够通过 MCP 协议调用安全工具
  2. 自动化安全测试 - 集成到 CI/CD 流程
  3. 安全工具编排 - 统一管理和调度多个安全工具

注意事项

  • 生产环境建议使用 --ip 127.0.0.1 限制本地访问。
  • 命令执行工具存在安全风险,请谨慎使用。
  • 确保系统中已安装 sqlmap 命令行工具。

开源协议

本项目仅供学习研究使用,请遵守相关法律法规。

# 开源 # 网络 # web安全 # 安全
Logo
MCP技术社区

欢迎加入 MCP 技术社区!与志同道合者携手前行,一同解锁 MCP 技术的无限可能!

更多推荐

AI Agent是通往AGI的必经之路吗?

AI Agent的概念最早出自人工智能经典教材《人工智能:一种现代方法》,定义为能在环境中自主感知、自主决策、自主行动,最终实现特定目标的智能实体。我们可以把它类比成一个虚拟的「数字员工」:和普通的工具软件不一样,你不需要告诉它每一步该做什么,只需要告诉它最终目标,它就能自己想办法完成。一个完整的AI Agent必须包含5个核心模块,模块之间的交互逻辑如下图所示:fill:#333;importa

avatar MCP技术社区

Cat2Bug Platform + MCP 实战教程:用 AI 直接查缺陷、管用例、推报告

Cat2Bug Platform 与 MCP 的结合,不只是“多了一个接口层”,而是把测试管理系统真正接入到了 AI 工作流里。你可以把它理解为:- Cat2Bug 负责数据和流程- MCP 负责连接和转译- AI 助手负责理解和执行对于想提升测试效率、自动化能力和团队协作体验的团队来说,这是一条非常值得落地的路径。如果你已经有 Cat2Bug 项目,不妨现在就创建一个 API KEY,接上,让

avatar MCP技术社区

Codebase-Memory-MCP深度拆解:C语言毫秒级代码知识图谱的3个核心技术

你可能会问,为什么不用Python或Rust?答案藏在性能需求里:| 语言 | 千万行代码解析 | 内存占用 | 查询延迟 || C(优化后)|0.9s380MB0.3-1.2ms解析阶段本质上是大量字符串扫描、哈希计算和图结构操作。C语言配合mmap直接映射源文件、Arena分配器批量管理内存,能在单次系统调用内完成Python需要百万次对象分配才能完成的工作。这是"毫秒级"承诺的物理基础。**

avatar MCP技术社区