Install
openclaw skills install vuln-analysis-hubVulnerability Analysis Hub
聚合漏洞分析技能中心。整合 IDA Pro 逆向、CVE 查询、静态代码分析(CodeQL/Semgrep)、故障根因分析、二进制漏洞利用工具链。当用户需要分析已知 CVE、挖掘未知漏洞、逆向二进制、构建 PoC、分析漏洞链、生成完整漏洞报告时使用此技能。
vuln-analysis-hub — 聚合漏洞分析技能中心
整合 IDA Pro 逆向、CVE 查询、静态分析(CodeQL/Semgrep)、故障根因分析、Linux 内核漏洞主动发现、二进制漏洞利用工具链
单一入口,多能力协同
触发词
漏洞分析、CVE、逆向、漏洞挖掘、二进制、漏洞利用、exploit、根因分析、故障分析、PoC、漏洞复现、静态分析、安全审计、CVE 编号查询、内核漏洞扫描、驱动安全审计
技能架构
本技能由 7 个子能力聚合而成,形成从已知漏洞查询 → 未知漏洞发现 → 二进制逆向 → 静态审计 → 漏洞利用开发 → 完整报告输出的完整闭环。
用户输入
│
├─ CVE 编号 / 漏洞查询
│ ├── cve-lookup (已知 CVE 详情,多源查询)
│ └── kernel-cve-tracker(Ubuntu USN 批量追踪)
│
├─ 二进制文件(exe/dll/so/elf/macho/apk/sys)
│ ├── ida-reverse (IDA Pro 逆向分析,72 MCP 工具)
│ └── binary-exploitation-tools(二进制利用工具链)
│
├─ 源码/内核/驱动
│ ├── kernel-vuln-discover(内核漏洞主动发现)
│ └── trailofbits-security(CodeQL/Semgrep 静态审计)
│
└─ 故障/事件描述
└── internet-failure-analysis-expert(根因分析)
报告输出
子技能速查表
| 子技能 | 触发词 | 核心功能 |
|---|---|---|
| ida-reverse | 分析二进制、逆向、exe/dll/so | IDA Pro 反编译、72 MCP 工具、7 阶段工作流 |
| cve-lookup | CVE-XXXX、漏洞查询、漏洞详情 | NVD/MITRE/GitHub Advisory 多源查询 |
| kernel-cve-tracker | 内核 CVE、Ubuntu CVE | Ubuntu USN 批量查询 |
| kernel-vuln-discover | 挖漏洞、发现漏洞、内核扫描 | Fuzzer、静态分析、模式扫描、PoC 生成 |
| trailofbits-security | CodeQL、Semgrep、静态审计 | 驱动/内核漏洞静态检测 |
| binary-exploitation-tools | 利用工具、pwntools、ROP | 调试 + 利用框架 + Shellcode |
| internet-failure-analysis-expert | 故障分析、根因分析、事件报告 | 官方报告 + 时间线 + 改进建议 |
工作流模式
模式 A:CVE 深度分析(已知漏洞)
用户输入 CVE 编号
│
├── cve-lookup → 多源搜索 → 结构化报告
│ │
│ └── 包含:描述、CVSS、CWE、PoC、缓解/防御/修复
│
└── internet-failure-analysis-expert → 时间线 → 根因 → 改进建议
模式 B:二进制漏洞挖掘(未知漏洞)
用户提供二进制文件(exe/so/dll/apk)
│
├── ida-reverse → 打开 → 7 阶段逆向 → 漏洞定位
│ │
│ └── 可选:binary-exploitation-tools 辅助
│
└── trailofbits-security → 静态分析 → 漏洞报告
模式 C:Linux 内核漏洞主动发现
用户要求扫描内核源码 / 发现新漏洞
│
├── kernel-vuln-discover
│ ├── Phase 1: 攻击面枚举(子系统入口点)
│ ├── Phase 2: CVE 模式归纳扫描(8 种已知根因模式)
│ ├── Phase 3: Fuzzing(syzkaller/trinity)
│ └── Phase 4: 静态审计(Coccinelle/semgrep)
│ └── Phase 5: PoC 生成 + 漏洞报告
│
└── kernel-cve-tracker → 已有 CVE 批量查询
模式 D:故障/安全事件根因分析
用户提供故障描述(Facebook 宕机、阿里云故障等)
│
└── internet-failure-analysis-expert
├── 模式 A:CVE 编号
└── 模式 B:通用故障描述
├── 步骤1:获取官方报告
├── 步骤2:拆解时间线
├── 步骤3:分析导火索 + 连环故障
├── 步骤4:识别根本原因(人/组织因素)
└── 步骤5:技术改进建议
IDA Pro 逆向分析 — 完整 7 阶段工作流
当用户提供二进制文件(exe/dll/so/elf/macho/apk/sys)时触发
阶段 1:启动服务器
# 启动 ida-pro-mcp HTTP 服务器(后台静默)
powershell -File "<skill-root>/ida-reverse/scripts/start.ps1"
# 输出:OK:72(72 个工具就绪)或 ERR:timeout
阶段 2:打开二进制文件
# 打开目标文件(自动处理 System32 权限问题)
powershell -File "<skill-root>/ida-reverse/scripts/open.ps1" -Path "C:\path\to\target.exe" -TimeoutSeconds 600
# 输出:
# OK:文件名:session_id (成功)
# OK:guid-sample.exe:session_id (降级到 Temp 副本)
# ERR:open_timeout_600s (超时,需手动检查)
阶段 3:概况分析(必做第一步)
# 快速摸底:函数数、字符串、段、入口点、导入分类
idapro_survey_binary(detail_level="minimal")
# 列出所有函数(分页)
idapro_list_funcs(queries={})
# 列出全局变量
idapro_list_globals(queries={})
# 统一查询:functions/globals/imports/strings/names
idapro_entity_query(kind="functions", filter={})
阶段 4:反编译与反汇编
# 反编译为伪代码
idapro_decompile(addr=0x401000)
# 反汇编指定行数
idapro_disasm(addr=0x401000, max_instructions=20)
# 综合分析(伪代码+字符串+常量+调用者+被调用者+块)
idapro_analyze_function(addr=0x401000, include_asm=false)
# 函数概要指标
idapro_func_profile(queries={})
阶段 5:交叉引用与调用关系
# 查谁引用了目标地址
idapro_xrefs_to(addrs=[0x401000])
# 高级 xref 查询(方向/类型过滤)
idapro_xref_query(addr=0x401000, direction="both")
# 子函数列表
idapro_callees(addrs=[0x401000])
# 调用图(可指定深度)
idapro_callgraph(roots=[0x401000], max_depth=3)
# 数据流追踪(前向/后向)
idapro_trace_data_flow(addr=0x401000, direction="backward", max_depth=5)
阶段 6:搜索与内存分析
# 正则搜索字符串
idapro_find_regex(pattern=r"password|token|key|secret", limit=50)
# 在反汇编列表中搜文本
idapro_search_text(pattern="strcpy")
# 字节模式搜索(支持 ?? 通配符)
idapro_find_bytes(patterns=["48 8B ?? ?? ?? ?? 00"], limit=20)
# 高级搜索(立即数/字符串/引用)
idapro_find(type="immediate", targets=["0x1000"])
# 读原始字节
idapro_get_bytes(addrs=[0x401000, 0x401020])
# 读字符串
idapro_get_string(addrs=[0x402000])
# 读整数值
idapro_get_int(queries={"addrs": [0x601000], "size": 4})
# 读全局变量值
idapro_get_global_value(queries={"names": ["glibc_version"]})
# 读结构体字段值
idapro_read_struct(queries={"struct_name": "FILE", "addr": 0x601000})
# 搜索结构体
idapro_search_structs(filter={"name": "sockaddr"})
阶段 7:修改操作与类型系统
# 添加注释(反汇编+反编译双向同步)
idapro_set_comments(items=[{"addr": 0x401000, "text": "漏洞点:strcpy 未校验长度"}])
# 追加注释
idapro_append_comments(items=[{"addr": 0x401000, "text": " → 可利用"}])
# 批量重命名(函数/全局/局部/栈变量)
idapro_rename(batch=[{"old_name": "FUN_00401000", "new_name": "vuln_strcpy"}])
# Patch 汇编指令
idapro_patch_asm(items=[{"addr": 0x401000, "new_asm": "xor rax, rax"}])
# Patch 字节
idapro_patch(patches=[{"addr": 0x401000, "old_bytes": "48 8B 45 00", "new_bytes": "48 31 C0 90"}])
# 定义函数
idapro_define_func(items=[{"addr": 0x401000, "name": "vuln_func"}])
# 取消定义
idapro_undefine(items=[{"addr": 0x401000}])
# 将字节转为代码
idapro_define_code(items=[{"addr": 0x401050}])
# 声明 C 结构体/枚举/联合体
idapro_declare_type(decls=[{"kind": "struct", "name": "payload_hdr", "fields": [{"name": "magic", "type": "uint32_t"}, {"name": "len", "type": "int"}]}])
# 应用类型到函数/全局/局部
idapro_set_type(edits=[{"addr": 0x401000, "type": "int (*)(char*, int)"}])
# 推断类型
idapro_infer_types(addrs=[0x401000])
# 查询已声明类型
idapro_type_query(queries={"name": "payload_hdr"})
# 查看类型详情
idapro_type_inspect(queries={"name": "FILE"})
# 声明栈变量
idapro_declare_stack(items=[{"addr": 0x401000, "name": "buf", "type": "char[256]"}])
# 删除栈变量
idapro_delete_stack(items=[{"addr": 0x401000, "name": "tmp"}])
# 查看栈帧变量
idapro_stack_frame(addrs=[0x401000])
阶段 8:签名与导出
# 为地址生成唯一字节签名
idapro_make_signature(addrs=[0x401000])
# 为函数生成签名
idapro_make_signature_for_function(addrs=[0x401000])
# 为引用地址的代码生成签名
idapro_find_xref_signatures(addrs=[0x401000])
# 导出函数(json/C header/prototypes)
idapro_export_funcs(addrs=[0x401000], format="json")
# 进制转换(必须用这个,不要自己算!)
idapro_int_convert(inputs=[{"value": "0x41414141", "from": 16, "to": 10}])
调试器工具(如需动态调试,加 ?ext=dbg)
# 在 GUI IDA 实例中打开文件
idapro_open_file(file_path="C:\\path\\to\\target.exe")
会话管理
# 列出所有 session
idapro_idalib_list()
# 获取当前上下文绑定的 session
idapro_idalib_current()
# 切换到其他 session
idapro_idalib_switch(session_id="abcd1234")
# 关闭 session
idapro_idalib_close(session_id="abcd1234")
# 保存数据库
idapro_idalib_save(path="C:\\path\\to\\save.idb")
# 检查 worker 健康状态
idapro_idalib_health(session_id="abcd1234")
# 服务器健康检查
idapro_server_health()
# 预热子系统(字符串缓存、Hex-Rays 等)
idapro_server_warmup()
# 执行 Python 代码
idapro_py_eval(code="print(ida_funcs.get_func(0x401000).flags)")
IDA 已知问题与处理
| 问题 | 解决方案 |
|---|---|
idalib_open schema 校验报错 | 用 scripts/open.ps1 绕 MCP 直调 HTTP API |
| System32 文件无权限 | open.ps1 自动复制到 Temp 再打开 |
| 带自动分析长时间无响应 | 加 -TimeoutSeconds 600,非卡死 |
| 旧数据库被锁 | open.ps1 自动降级到 Temp 加 GUID 前缀 |
| IDA GUI 假死 | start.ps1 用 taskkill /F /T 杀孤儿进程树 |
| 需要远程调试 | IDA → Debugger → Process options → 配置远程 IP |
IDA Pro 全部 MCP 工具速查(72 个)
概况分析(4 个)
| 工具 | 用途 |
|---|---|
idapro_survey_binary | 快速概况:函数数、字符串、段、入口点、导入分类 |
idapro_list_funcs | 列出函数(分页、按名称过滤) |
idapro_list_globals | 列出全局变量 |
idapro_entity_query | 统一查询:functions/globals/imports/strings/names |
反编译与反汇编(4 个)
| 工具 | 用途 |
|---|---|
idapro_decompile | 反编译为伪代码 |
idapro_disasm | 反汇编(可指定最大指令数) |
idapro_analyze_function | 综合分析(伪代码+字符串+常量+调用者+被调用者+块) |
idapro_func_profile | 函数概要指标 |
交叉引用与调用关系(5 个)
| 工具 | 用途 |
|---|---|
idapro_xrefs_to | 查谁引用目标地址 |
idapro_xref_query | 高级 xref 查询(方向/类型过滤) |
idapro_callees | 子函数列表 |
idapro_callgraph | 调用图(可指定深度) |
idapro_trace_data_flow | 数据流追踪(forward/backward) |
搜索(4 个)
| 工具 | 用途 |
|---|---|
idapro_find_regex | 正则搜字符串 |
idapro_search_text | 在反汇编列表中搜文本 |
idapro_find_bytes | 字节模式搜索(支持 ?? 通配符) |
idapro_find | 高级搜索(立即数/字符串/引用) |
内存与数据(6 个)
| 工具 | 用途 |
|---|---|
idapro_get_bytes | 读原始字节 |
idapro_get_string | 读字符串 |
idapro_get_int | 读整数值 |
idapro_get_global_value | 读全局变量值 |
idapro_read_struct | 读结构体字段值 |
idapro_search_structs | 搜索结构体 |
修改操作(8 个)
| 工具 | 用途 |
|---|---|
idapro_set_comments | 添加注释(反汇编+反编译双向同步) |
idapro_append_comments | 追加注释 |
idapro_rename | 批量重命名(函数/全局/局部/栈变量) |
idapro_patch_asm | Patch 汇编指令 |
idapro_patch | Patch 字节 |
idapro_define_func | 定义函数 |
idapro_undefine | 取消定义 |
idapro_define_code | 将字节转为代码 |
类型系统(5 个)
| 工具 | 用途 |
|---|---|
idapro_declare_type | 声明 C 结构体/枚举/联合体 |
idapro_set_type | 应用类型到函数/全局/局部 |
idapro_infer_types | 推断类型 |
idapro_type_query | 查询已声明类型 |
idapro_type_inspect | 查看类型详情 |
栈帧(3 个)
| 工具 | 用途 |
|---|---|
idapro_stack_frame | 查看栈帧变量 |
idapro_declare_stack | 声明栈变量 |
idapro_delete_stack | 删除栈变量 |
签名(3 个)
| 工具 | 用途 |
|---|---|
idapro_make_signature | 为地址生成唯一字节签名 |
idapro_make_signature_for_function | 为函数生成签名 |
idapro_find_xref_signatures | 为引用地址的代码生成签名 |
调试器(1 个)
| 工具 | 用途 |
|---|---|
idapro_open_file | 在 GUI IDA 实例中打开文件(需 ?ext=dbg) |
会话管理(6 个)
| 工具 | 用途 |
|---|---|
idapro_idalib_list | 列出所有 session |
idapro_idalib_current | 获取当前上下文 session |
idapro_idalib_switch | 切换到其他 session |
idapro_idalib_close | 关闭 session |
idapro_idalib_save | 保存数据库 |
idapro_idalib_health | 检查 worker 健康状态 |
其他(6 个)
| 工具 | 用途 |
|---|---|
idapro_int_convert | 进制转换(必须用这个,不要自己算!) |
idapro_export_funcs | 导出函数(json/C header/prototypes) |
idapro_py_eval | 在 IDA 上下文执行 Python |
idapro_server_health | 服务器健康检查 |
idapro_server_warmup | 预热子系统(字符串缓存、Hex-Rays 等) |
idapro_idalib_open | ⚠️ 不推荐,直接用 open.ps1 脚本 |
静态分析工具集成(CodeQL/Semgrep)
CodeQL 漏洞查询命令
# 创建 CodeQL 数据库
codeql database create /path/to/db --language=cpp --source-root=/path/to/kernel/driver
# 查询特定漏洞模式
codeql database analyze /path/to/db /path/to/rules/buffer-overflow.ql --format=sarif-latest --output=results.sarif
# 常用漏洞规则
# - 缓冲区溢出:codeql query run "semmle-code-cpp/cpp buffer overflow"
# - Use-after-free:codeql query run "semmle-code-cpp/cpp too-small-buffer-size"
# - 整数溢出:codeql query run "semmle-code-cpp/cpp integer-overflow"
Semgrep 规则扫描命令
# 扫描驱动源码
semgrep --config=rules.yaml /path/to/driver/
# 使用内置规则
semgrep --lang=c --pattern 'strcpy($BUF, $SRC)' /path/to/code/
# 输出 SARIF 格式(可集成到 CI)
semgrep --json --output=sarif.json /path/to/code/
Coccinelle 语义 Patch(Linux 内核)
# 扫描内核源码
spatch --sp-file /path/to/rules.cocci /path/to/linux/fs/overlayfs/ --very-quiet
# 常用检测规则
# - copy_from_user 未检查返回值
# - kmalloc 大小整数溢出
# - use-after-free(fput 后再次使用)
内核漏洞主动发现 — 完整流程
Phase 1:攻击面枚举
识别高风险子系统:io_uring、Netfilter、SMB、OverlayFS、BPF、TLS/XFRM
Phase 2:CVE 模式归纳扫描
使用 scripts/cve-pattern-scan.sh(来自 kernel-vuln-discover)进行自动化模式扫描:
# 扫描所有已知模式
~/.agents/skills/kernel-vuln-discover/scripts/cve-pattern-scan.sh /path/to/kernel-src all
# 扫描特定模式
~/.agents/skills/kernel-vuln-discover/scripts/cve-pattern-scan.sh /path/to/kernel-src io_uring_ring
Phase 3:Fuzzing
| 工具 | 命令 | 说明 |
|---|---|---|
| syzkaller | cd ~/syzkaller && ./bin/syz-manager -config=my.cfg | 系统性内核 Fuzzing |
| trinity | trinity -l amd64 -c "io_uring_setup" | 系统调用 Fuzzing |
| libfuzzer | clang -fsanitize=fuzzer target.c | 组件级 Fuzzing |
Phase 4:静态审计
结合 trailofbits-security 和 kernel-vuln-discover 的子系统检查表:
| 子系统 | 关键检查项 | 关键词 |
|---|---|---|
| io_uring | ring mmap 越界、fixed buffer 重叠 | io_uring_enter、mmap.*ring |
| Netfilter | nft_expr 整数溢出 | shift << 32、nft_set_elem |
| SMB | pdu_length 边界错误 | pdu_length == data_len + header |
| OverlayFS | upper/lower 层权限绕过 | ovl_rename、ovl_path_real |
| BPF | 验证器指针类型绕过 | check_ptr_alignment、PTR_INVALID |
Phase 5:漏洞报告 + PoC
输出:漏洞描述 → 根因分析 → 触发条件 → 概念性 PoC(伪代码)
工具链速查对照表
调试工具
| 工具 | 平台 | 核心命令 | 特色 |
|---|---|---|---|
| GDB + GEF | Linux ELF | gdb -q ./binary | checksec/canary/vmmap |
| pwndbg | Linux ELF | ./setup.sh | 自动显示寄存器/栈/反汇编 |
| x64dbg | Windows PE | 图形界面 | 图形化断点/内存查看 |
| IDA Pro | 跨平台 | start.ps1 + open.ps1 | Hex-Rays 反编译、72 MCP 工具 |
| radare2 | 跨平台 | r2 -A ./binary | 命令行逆向框架 |
| gdbserver | 远程 | gdbserver --multi 0.0.0.0:23947 | 远程调试嵌入式 |
利用开发框架
| 工具 | 用途 | 关键命令 |
|---|---|---|
| pwntools | Python exploit | process()/remote()/ELF()/ROP() |
| ROPgadget | ROP gadget 搜索 | --binary ./bin --only "pop|ret" |
| ropper | gadget + chain | --file ./bin --search "pop rdi" |
| one_gadget | libc one-shot | /lib/x86_64-linux-gnu/libc.so.6 |
| msfvenom | shellcode | -p linux/x64/shell_reverse_tcp |
Fuzzing 工具
| 工具 | 目标 | 特点 |
|---|---|---|
| syzkaller | Linux 内核 | 系统性 Fuzzing,覆盖所有子系统 |
| trinity | Linux 系统调用 | 多架构支持,快速生成用例 |
| libfuzzer | LLVM 组件 | 集成在编译器中,cov 导向 |
| AFL | 用户态程序 | 遗传算法,fork server |
输出约束
| 约束 | 说明 |
|---|---|
| 概念性 PoC | 仅伪代码 + 触发序列,不生成可执行攻击代码 |
| 信息来源 | 至少 3 个不同来源,标注可信度 |
| 报告路径 | CVE 报告 → CVE-Reports/ |
| 免责声明 | PoC 部分必须添加免责说明 |
| 不执行 PoC | 报告生成过程绝不运行任何 PoC 代码 |
| 中文优先 | 中英文混合场景优先中文输出 |
注意事项
- IDA Pro 逆向:优先用
scripts/open.ps1而非直接调用idalib_open - CVE 查询:格式校验失败立即停止,不做模糊搜索
- PoC 生成:严格限制为概念性,伪代码 + 自然语言描述
- 内核漏洞发现:结合 kernel-cve-tracker 查询已有 CVE,避免重复
- 故障分析:以官方报告为主,无官方报告时多源交叉验证