Core-Termux: transformar o Termux em uma workstation modular
Framework modular (DevCoreXOfficial/core-termux) que instala e gerencia linguagens, bancos, editores, agentes de IA e automações no Termux com um único CLI: core install/update/uninstall.
🎧 audiobook · nível 1
Core-Termux: transformar o Termux em uma workstation modular
O que é o Core-Termux
Projeto open-source (MIT, 260+ stars, versão 4.8.x) que padroniza a instalação de todo o stack de dev/ops no Termux — linguagens, bancos, editores, dezenas de agentes de IA de código, automações e configurações de shell — através de um CLI único chamado core. É uma alternativa organizada aos nossos scripts soltos: install, update, uninstall, reinstall e show funcionam com a mesma sintaxe para qualquer módulo.
Instalação em 1 comando
Instala o CLI. Rodar 'core' sem argumentos mostra o help.
curl -fsSL https://raw.githubusercontent.com/DevCoreXOfficial/core-termux/main/install.sh | bash
core
core --versionSempre audite scripts curl|bash antes de rodar
Abra o install.sh no repositório oficial e leia. Em ambiente de estudo/pentest é ainda mais importante: você não quer que um bootstrap comprometa o próprio laboratório. Confirme o commit e o autor (DevCoreXOfficial) antes de executar.
Módulos principais
- lang — Node.js, Python, Perl, PHP, Rust, C/C++, Go
- db — PostgreSQL, MariaDB, SQLite, MongoDB (com gerenciador dedicado: core pg)
- ai — 25+ agentes de código (Ollama, Codex CLI, Claude Code, Gemini CLI, Qwen Code, OpenCode, Kilo Code, Mistral Vibe, Freebuff, etc.)
- editor — Neovim + NvChad pré-configurado
- dev — gh, wget, curl, fzf, lsd, bat, jq…
- npm — pacotes globais (typescript, prettier, etc.)
- shell — plugins de zsh
- ui — componentes de Termux:GUI
- auto — automações (n8n)
Comandos essenciais
core list ai # ver quais agentes existem
core install ai --ollama --opencode # instalar seletivamente
core update core # atualizar só o framework
core reinstall db --postgresql # reinstalar do zero
core uninstall ai --qwen-code
core show ai --opencode # ler o README do módulo
core open db # abre a doc oficial no browserRecursos que valem estudo à parte
core brain — segundo cérebro em Markdown
Sistema de notas com frontmatter YAML (title, tags, category, related), organizado em pastas por categoria (frontend/, devops/, linux/...), sincronizado opcionalmente para um repositório privado no GitHub via gh. Aceita busca por tags, sugere relações automáticas e exporta um grafo (core brain graph). Formato pensado para ser consumido por agentes de IA — combina bem com os prompts que já temos em /prompts.
core brain init
core brain save
core brain search redis
core brain graph
core brain synccore env — variáveis de ambiente com input mascarado
Fluxo interativo para adicionar/remover env vars no .zshrc ou .bashrc, com valor oculto ao digitar (●●●●). Detecta duplicatas, remove todas as definições do mesmo nome. Bom padrão para API keys de OpenAI/Anthropic/Google quando vários agentes coexistem.
core voice — voz → prompt → agente
Captura áudio do microfone via Termux:API, transcreve, abre no nvim para você revisar, e dispara o agente escolhido (opencode, claude-code, codex, gemini-cli, qwen-code, mistral-vibe, kimi-code, mimocode, hermes-agent...). Exige o pacote termux-api e o app Termux:API instalado.
pkg install termux-api
core install editor
core voice opencodeO que dá para importar para o nosso arsenal
- Agentes de IA CLI que ainda não catalogamos: OpenCode, Kilo Code, Mistral Vibe, Kimi Code, MiMoCode, Hermes Agent, Freebuff, Command Code, Codex CLI.
- Padrão 'módulo + flags' (core install ai --ollama --opencode) como referência para reorganizar nossos guias por objetivo, não por ferramenta.
- Fluxo core brain como inspiração para uma seção de 'notas de laboratório' no site (writeups locais que viram artigos).
- core pg como caminho oficial de PostgreSQL no Termux — mais robusto do que instalar na mão em estudos de banco.
Uso responsável
Core-Termux é ferramenta de produtividade, não de ataque. Nada aqui muda a regra do laboratório: agentes de IA e bancos rodam na sua VPS/VM/Termux isolado, com autorização explícita, sem tocar sistemas de terceiros. As chaves de API vão em core env (mascaradas), não em README.
Template OffSec · aplicar antes de rodar
Objetivo → Preparação → Execução → Evidência → Ética
Objetivo
Mapear a superfície de ataque de rede/host e identificar serviços expostos, versões vulneráveis e configuração fraca — antes que um atacante o faça.
Pré-requisitos
- Autorização escrita cobrindo faixa de IPs e janela
- Kali/Parrot ou Termux com nmap, masscan, netcat
- Rede host-only ou VPN para não escapar o escopo
- Baseline do ambiente (o que é esperado estar aberto)
Passos
- Descoberta passiva (DNS, certificados, Shodan) antes de tocar no alvo
- Sweep leve: nmap -sn na faixa autorizada
- Enumeração de serviços: nmap -sV -sC -p- com rate limitado
- Fingerprint de versões e checagem cruzada em CVE (searchsploit)
- Documente cada porta aberta com screenshot do banner
Evidências a coletar
- Saída completa do nmap em XML (-oX) e greppable (-oG)
- Screenshots de banners e páginas de login
- Hashes SHA-256 das saídas para provar integridade
Regra prática: se você não guardou evidência reprodutível, o achado não existe.
Guia prático (lab autorizado)
alvo · scanme.nmap.org (autorizado) ou HTB Starting Point
nmap -sV -sC -p- --min-rate 500 -oA out/scan scanme.nmap.orgverificar · Confirme portas abertas com um segundo caminho: `ss -tlnp` no próprio host (se tiver acesso) ou `nc -zv` a partir de outra origem.
Checklist interativo
Checklist ético (marcar antes do primeiro comando)
Autorização, escopo, lab e proteção de dados. Sem 100%, não roda fora do lab.
Prática segura · Infraestrutura
→ guia do labMonte um ambiente isolado antes de qualquer teste — use Docker (DVWA/juice-shop), uma VM host-only ou um alvo autorizado (HTB, TryHackMe, PortSwigger Academy).
Nunca aponte para alvo em produção. Se estiver no celular, use proot-distro + Debian para não sujar o Termux principal.
