Power Pwn

由以下团队维护：

安全赋能 AI Agent。

---

概述

Power Pwn 是一套用于 Microsoft 365 Power Platform 和 AI 服务的攻防安全工具集。

主要功能包括：

• 💾 PowerDump: 全面的租户扫描与数据收集
• 🚪 BackDoor: 部署后门流以实现对 Power Platform 环境的持续访问
• 🦠 NoCodeMalware: 无需编写代码即可创建和部署恶意 Power Platform 工件
• 🎣 PowerPhishing: 滥用 Power Platform 进行网络钓鱼攻击和凭据窃取
• 🤖 Copilot Studio Hunter: 发现并测试向未经身份验证的用户公开的配置错误的 Copilot Studio 机器人
• 🤖 Custom GPT Hunter: 枚举并分析自定义 GPT
• 🤖 Agent Builder Hunter: 发现公开可用的 Agent Builder 部署并枚举其功能
• 🔎 LLM Hound: 使用 Shodan 发现互联网上公开暴露的 MCP（模型上下文协议）和 AI 中间件
• 🎯 Copilot M365: 测试 Microsoft 365 Copilot 是否存在未经授权的数据检索风险
• 📄 Power Pages: 识别会导致 Dataverse 表泄露的配置错误的 Power Pages

请查阅工具文档获取完整功能列表：

请访问我们的 Wiki 以获取全面的文档、指南及相关演讲！

Power Pwn 的 PowerDump 模块演示视频如下：

安装

对于标准使用，请执行以下命令：

pip install powerpwn

对于开发人员和高级用户，请参阅我们详尽的 安装指南，其中涵盖了：

• 全自动化安装（Python + 外部工具）
• 模块特定依赖项（ffuf, subfinder, Node.js, Puppeteer）
• 平台特定说明（macOS, Linux, Windows）
• 故障排查与验证步骤

某些模块需要额外的工具。请查看以下 Wiki 页面以获取模块特定的要求：

• Powerdump
• Copilot Studio Hunter - deep-scan
• Copilot Studio Hunter - tools-recon
• Copilot Studio Hunter - enum
• CopilotM365

开发人员快速指南

选项 1：完整安装（推荐）

安装 Python 包和外部工具（ffuf, subfinder, Node.js）：

python init_repo.py --install-external-tools
source .venv/bin/activate  # Linux/macOS
# or
.\.venv\Scripts\activate  # Windows

macOS 和 Linux 支持自动安装。Windows 系统需要手动安装相关工具。

选项 2：仅安装 Python 环境

仅安装 Python 包（后续需手动安装工具）：

python init_repo.py
source .venv/bin/activate  # Linux/macOS

验证安装

pip install .
powerpwn --help

有关详细的安装选项、故障排查和各平台特定指南，请参见 INSTALLATION.md

开发提示

1. 可编辑模式：如果本地修改在测试时未生效，请以可编辑模式重新安装：

   pip install -e .
   

2. Python 版本：对于 GUI 模块（PowerDump），请使用 Python 3.11 以避免兼容性问题。

3. PYTHONPATH 设置（如果需要）：

   • Linux/macOS: export PYTHONPATH=/[your_powerpwn_directory]/src:$PYTHONPATH
   • Windows PowerShell: $env:PYTHONPATH = "C:\[your_powerpwn_directory]\src;" + $env:PYTHONPATH

4. 代码格式化：在提交 PR 之前，请运行：

   black -C -l 150 {file_path}
   

使用方法

快速入门

🎯 常见用例

1. 租户安全评估