Adoption

Agent Skills are supported by leading AI development tools.

VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory VS Code Gemini CLI GitHub Goose Amp Cursor Claude Code Letta OpenCode Claude OpenAI Codex Factory

wgpsec/ccupp-password-profiler

Name: ccupp-password-profiler
Author: wgpsec

skills/tool/ccupp-password-profiler/SKILL.md

npx skillsauth add wgpsec/AboutSecurity ccupp-password-profiler

Clean

TrivyContainer and dependency vulnerability scanner

Clean

SemgrepStatic code analysis for vulnerabilities

Clean

mcp-scan (Snyk)Model Context Protocol security validation

Skipped

Snyk (dep)Open source security scanning

Skipped

Socket.devSupply chain security analysis

Skipped

VirusTotalMulti-engine malware detection

Skipped

CrowdStrikeAdvanced threat intelligence

Skipped

OSV-ScannerOpen Source Vulnerability database check

Skipped

OWASP Dep-Check

ccupp 社工密码字典生成

ccupp（Chinese Common User Passwords Profiler）根据目标的个人信息智能生成密码字典——比通用字典更精准，因为大多数人的密码都包含自己的姓名、生日、电话等信息。

项目地址：https://github.com/WangYihang/ccupp

安装

# 方式 1: f8x 自动安装（推荐）
f8x -install ccupp

# 方式 2: 手动安装（ccupp 未发布到 PyPI，需 clone 后本地安装）
git clone https://github.com/WangYihang/ccupp.git
cd ccupp
pipx install .

快速开始

# 生成示例配置文件
ccupp init

# 交互式输入目标信息
ccupp interactive

# 从配置文件生成密码
ccupp generate -o passwords.txt

配置文件格式

创建 config.yaml，填入目标社工信息：

- surname: 张
  first_name: 三
  phone_numbers:
    - '13800138000'
  identity: '110101199001011234'
  birthdate:
    - '1990'
    - '01'
    - '01'
  hometowns:
    - 北京
    - 海淀
  workplaces:
    - - 阿里巴巴
      - alibaba
  educational_institutions:
    - - 北京大学
      - pku
  accounts:
    - zhangsan
  passwords:
    - old_pass123

每个字段都会参与密码组合——信息越多，字典覆盖越精准。

生成策略与优先级

ccupp 按可能性从高到低排序输出，排在前面的密码命中率更高：

旧密码变体 — 大小写/leetspeak/后缀变换（人倾向于在旧密码基础上微调）
姓名+生日 — 中国用户最常见的弱口令模式（zhangsan1990）
姓名+电话尾号 — 如 zs8000、zhangsan138
双组件组合 — 任意两类信息交叉
文化数字 — 组件 + 520/1314/888/666（中国特色）
键盘模式 — qwerty/1qaz2wsx + 组件

常用参数

# 过滤密码长度（配合目标密码策略）
ccupp generate --min-length 8 --max-length 16

# 禁用某些策略（缩小字典体积）
ccupp generate --no-leetspeak --no-cultural --no-keyboard

# JSON 格式输出（便于程序处理）
ccupp generate -f json -o passwords.json

# 查看统计信息
ccupp generate --stats

实战工作流

收集目标信息（姓名/生日/电话/公司）
  │
  ├─ ccupp generate → 定制字典 passwords.txt
  │
  └─ 用字典爆破
     ├─ zombie -i target -s ssh -u zhangsan -P passwords.txt
     ├─ zombie -i target -s rdp -u zhangsan -P passwords.txt
     └─ hydra -l zhangsan -P passwords.txt target ssh

决策树

需要密码字典？
├─ 有目标个人信息 → ccupp generate（定制字典，精准命中）
├─ 无个人信息，通用场景 → SecLists/rockyou.txt
├─ 企业批量弱口令 → 公司名+年份+特殊字符（手工或脚本）
└─ 已有旧密码 → ccupp 旧密码变体策略（填入 passwords 字段）

wgpsec/ccupp-password-profiler

skills/tool/ccupp-password-profiler/SKILL.md

使用 ccupp 基于社工信息生成弱口令字典。ccupp 是中文场景下最完整的密码画像工具——输入目标的姓名、生日、电话、身份证等信息，自动生成拼音变体、日期变体、文化数字（520/1314/888）组合的密码字典。当需要对目标人员做定向弱口令爆破、社工密码猜测、或者通用弱口令字典不够用需要定制化字典时使用此技能

1,237 stars

tools

Updated May 6, 2026

$ install --global

skillsauth

npx skillsauth add wgpsec/AboutSecurity ccupp-password-profiler

Install this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.

Security Scan Results

3 of 9 scanners reported clean

Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.

Scanners Passed

Scanners in report

Clean

TrivyContainer and dependency vulnerability scanner

95%

Clean

SemgrepStatic code analysis for vulnerabilities

95%

Clean

mcp-scan (Snyk)Model Context Protocol security validation

95%

Skipped

Snyk (dep)Open source security scanning

50%

Skipped

Socket.devSupply chain security analysis

50%

Skipped

VirusTotalMulti-engine malware detection

50%

Skipped

CrowdStrikeAdvanced threat intelligence

50%

Skipped

OSV-ScannerOpen Source Vulnerability database check

50%

Skipped

OWASP Dep-Check

50%

Last scanned: May 6, 2026, 2:27 AM118.9s1 file scanned

SKILL.md

name:: ccupp-password-profiler
description:: 使用 ccupp 基于社工信息生成弱口令字典。ccupp 是中文场景下最完整的密码画像工具——输入目标的姓名、生日、电话、身份证等信息，自动生成拼音变体、日期变体、文化数字（520/1314/888）组合的密码字典。当需要对目标人员做定向弱口令爆破、社工密码猜测、或者通用弱口令字典不够用需要定制化字典时使用此技能
tags:: ccupp,password,弱口令,社工,字典,密码生成,profiler,拼音,bruteforce,wordlist
category:: tool

ccupp 社工密码字典生成

项目地址：https://github.com/WangYihang/ccupp

安装

# 方式 1: f8x 自动安装（推荐）
f8x -install ccupp

# 方式 2: 手动安装（ccupp 未发布到 PyPI，需 clone 后本地安装）
git clone https://github.com/WangYihang/ccupp.git
cd ccupp
pipx install .

快速开始

# 生成示例配置文件
ccupp init

# 交互式输入目标信息
ccupp interactive

# 从配置文件生成密码
ccupp generate -o passwords.txt

配置文件格式

创建 config.yaml，填入目标社工信息：

- surname: 张
  first_name: 三
  phone_numbers:
    - '13800138000'
  identity: '110101199001011234'
  birthdate:
    - '1990'
    - '01'
    - '01'
  hometowns:
    - 北京
    - 海淀
  workplaces:
    - - 阿里巴巴
      - alibaba
  educational_institutions:
    - - 北京大学
      - pku
  accounts:
    - zhangsan
  passwords:
    - old_pass123

每个字段都会参与密码组合——信息越多，字典覆盖越精准。

生成策略与优先级

ccupp 按可能性从高到低排序输出，排在前面的密码命中率更高：

旧密码变体 — 大小写/leetspeak/后缀变换（人倾向于在旧密码基础上微调）
姓名+生日 — 中国用户最常见的弱口令模式（zhangsan1990）
姓名+电话尾号 — 如 zs8000、zhangsan138
双组件组合 — 任意两类信息交叉
文化数字 — 组件 + 520/1314/888/666（中国特色）
键盘模式 — qwerty/1qaz2wsx + 组件

常用参数

# 过滤密码长度（配合目标密码策略）
ccupp generate --min-length 8 --max-length 16

# 禁用某些策略（缩小字典体积）
ccupp generate --no-leetspeak --no-cultural --no-keyboard

# JSON 格式输出（便于程序处理）
ccupp generate -f json -o passwords.json

# 查看统计信息
ccupp generate --stats

实战工作流

收集目标信息（姓名/生日/电话/公司）
  │
  ├─ ccupp generate → 定制字典 passwords.txt
  │
  └─ 用字典爆破
     ├─ zombie -i target -s ssh -u zhangsan -P passwords.txt
     ├─ zombie -i target -s rdp -u zhangsan -P passwords.txt
     └─ hydra -l zhangsan -P passwords.txt target ssh

决策树

需要密码字典？
├─ 有目标个人信息 → ccupp generate（定制字典，精准命中）
├─ 无个人信息，通用场景 → SecLists/rockyou.txt
├─ 企业批量弱口令 → 公司名+年份+特殊字符（手工或脚本）
└─ 已有旧密码 → ccupp 旧密码变体策略（填入 passwords 字段）

Related Skills

wgpsec/azure-pentesting

testing

VerifiedTrustedCommunity

Azure 云环境渗透测试总体方法论。当目标使用 Azure/Microsoft 365/Entra ID、发现 Azure 相关资产（Blob Storage/App Service/Azure VM/Azure Functions）、获取 Azure 凭据（Service Principal/Managed Identity/Access Token）、或需要对 Azure 环境进行安全评估时使用。提供从未授权枚举到 Entra ID 攻击、服务提权、Cloud-to-OnPrem 横向移动的全流程决策树。覆盖 35+ Azure 服务攻击面

1,393SKILL.mdUpdated Apr 24, 2026

wgpsec/azure-pentesting

wgpsec/mythic-c2

tools

VerifiedTrustedCommunity

Mythic C2 操作方法论。当需要部署 Mythic、选择 Mythic Agent、安装 C2 Profile、配置 HTTP/DNS/WebSocket/SMB/TCP 通信、生成 payload、管理回连任务，或把 Mythic 作为跨平台 C2 框架用于授权红队演练时使用。覆盖 mythic-cli 安装、Agent/Profile 选择、SSL 证书配置、payload 构建和基础 OPSEC 判断

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

development

VerifiedTrustedCommunity

Docker 安全测试与容器渗透方法论。当需要评估 Docker 容器、Docker Daemon、Docker Registry、镜像层、构建产物或容器逃逸风险时使用。覆盖容器环境识别、特权容器逃逸、docker.sock/Remote API 利用、procfs/cgroup/capabilities 滥用、Docker 用户组提权、运行时/内核 CVE、Registry 枚举、镜像层 Secret 分析和构建上下文泄露。发现 Docker 容器环境、Registry 暴露、镜像凭据或容器配置错误时应使用此技能

1,345SKILL.mdUpdated May 22, 2026

wgpsec/docker-pentesting

wgpsec/padbuster-padding-oracle

development

VerifiedTrustedCommunity

使用 PadBuster 进行 Padding Oracle 攻击。当发现 Web 应用使用 CBC 模式加密且存在 Padding Oracle 漏洞时使用。PadBuster 可自动解密密文和伪造任意明文对应的合法密文，适用于加密 Cookie/Token/URL 参数。任何涉及 Padding Oracle 攻击、CBC 密文解密、Cookie 伪造的场景都应使用此技能

1,345SKILL.mdUpdated May 6, 2026

wgpsec/padbuster-padding-oracle

Download

For Claude Desktop. Download once, then upload the file in the app — no terminal needed.

Need help? View full Cowork setup guide →

Install manually

Choose your platform

# Clone the repo
git clone https://github.com/wgpsec/AboutSecurity.git

# Copy into Claude Code skills folder (global)
cp -r AboutSecurity/skills/tool/ccupp-password-profiler ~/.claude/skills/

Claude Code Skills — official skills path docs.

Repository

wgpsec/AboutSecurity

1,237 stars

Compatible with

Claude Code

OpenAI Codex CLI

ChatGPT