首先恭喜你发现了宝藏。本项目集成了全网优秀的攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目),内网渗透工具、应急响应工具、甲方运维工具、等其他安全资料项目,供攻防双方使用。如果你有更好的建议,欢迎提出请求,本文收录全网优秀工具,欢迎大佬提交。
项目名称
项目地址
项目简介
ShuiZe_0x727
nemo_go
nemo_go自动化信息收集
gosint
分布式资产信息收集和漏洞扫描平台
ApolloScanner
自动化巡航扫描框架(可用于红队打点评估)
rengine
自动化侦查框架
Railgun
GUI界面的自动化工具
在线工具集
在线cms识别|信息泄露|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取|待续..
AlliN
一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具
AWVS-GUI
Acunetix Web漏洞扫描程序 GUI版本]
vajra
一个高度可定制Web自动化扫描框架
bayonet
从子域名、端口服务、漏洞、爬虫等一体化的资产管理系统
kscan
可针对指定IP段、资产清单、存活网段自动化进行端口扫描以及TCP指纹识别和Banner抓取
项目名称
项目地址
项目简介
linglong
资产无限巡航扫描系统
LangSrcCurise
SRC子域名资产监控
ARL(灯塔)
快速侦察与目标关联的互联网资产,构建基础资产信息库。
AppInfoScanner
移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具
集成GoogleHacking语法来进行信息收集
Grecon
项目简介
项目地址
项目名称
在线子域名收集
在线收集
ssl证书扫域名
myssl
一款功能强大的子域收集工具
oneforall
ksubdomain 无状态子域名爆破工具
ksubdomain
好用且强大的子域名扫描工具
dnsub
Layer子域名挖掘机
Layer
src子域名监控
LangSrcCurise
通过使用被动在线资源来发现网站的有效子域
subfinder
项目简介
项目地址
项目名称
Web path scanner 目录扫描工具
dirsearch
用Rust编写的快速,简单,递归的内容发现工具
feroxbuster
用Go编写的模糊测试工具
ffuf
一个高级web目录、文件扫描工具
dirmap
网站的敏感目录发掘工具
cansina
御剑后台扫描工具珍藏版
御剑
使用GoLang开发的目录/子域扫描器
urlbrute
项目简介
项目地址
项目名称
红队重点攻击系统指纹探测工具
EHole(棱洞)2.0
14Finger
一个web应用程序指纹识别工具
Whatweb
Golang实现Wappalyzer 指纹识别
wappalyzergo
一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
Finger
Glass是一款针对资产列表的快速指纹识别工具
Glass
项目简介
项目地址
项目名称
TXPortMap 实用型的端口扫描、服务识别工具
TXPortMap
使用Golang开发的高并发网络扫描、服务探测工具
serverScan
naabu 用 go 编写的快速端口扫描器
naabu
masnmapscan 一款端口扫描器。整合了masscan和nmap两款扫描器
整合扫描器
gonmap是一个go语言的nmap端口扫描库
gonmap
在线端口扫描1
在线工具
在线端口扫描2
在线工具2
小米范
项目简介
项目地址
项目名称
BurpSuite-collections
一款基于BurpSuite的被动式shiro检测插件
BurpShiroPassiveScan
一款基于BurpSuite的被动式FastJson检测插件
BurpFastJsonScan
fastjson漏洞burp插件,检测fastjson小于1.2.68基于dnslog
fastjsonScan
HaE 请求高亮标记与信息提取的辅助型 BurpSuite 插件
HaE
domain_hunter_pro 一个资产管理类的Burp插件
domain_hunter_pro
GadgetProbe Burp插件 用来爆破远程类查找Java反序列化
GadgetProbe
HopLa 自动补全 Payload 的 BurpSuite插件
HopLa
验证码识别
captcha-killer-modified
伪造ip地址
burpFakeIP
自动发送请求
AutoRepeater
Hack-Tools 适用于红队的浏览器扩展插件
Hack-Tools
SwitchyOmega 浏览器的代理插件
SwitchyOmega
Chrome插件.使用DevTools查找DOM XSS
untrusted-types
FOFA Pro view 是一款FOFA Pro 资产展示浏览器插件
fofa_view
mitaka 用于 OSINT 搜索的Chrome和Firefox扩展
mitaka
Git History 查看git存储库文件的历史记录
Git History
项目简介
项目地址
项目名称
swagger-exp Swagger REST API 信息泄露利用工具
swagger-exp
swagger-hack
Packer Fuzzer 针对Webpack等前端打包工具所构造的网站进行检测的扫描工具
Packer-Fuzzer
SvnExploit支持SVN源代码泄露全版本Dump源码
svnExploit
git-dumper 从网站转储git存储库的工具
git-dumper
GitDorker 通过使用大型的dorks库来从GitHub抓取敏感信息
GitDorker
从JavaScript文件中提取敏感信息
SecretFinder
功能比较多的一个JavaScript侦查自动化脚本
JSFScan
项目简介
项目地址
项目名称
高危漏洞精准检测与深度利用框架
woodpecker-framwork
Web漏洞攻击框架
AttackWebFrameworkTools
开源的远程漏洞测试框架
pocsuite3
全新的开源在线 poc 测试框架
pocassist
一款功能强大的安全评估工具
Xray
网络安全测试工具
Goby
是一款 web 漏洞扫描和验证工具
Vulmap
项目简介
项目地址
项目名称
综合高危漏洞利用工具
LiqunKit
Spring系列漏洞利用工具
SpringExploit
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原版中NoCC的问题
ShiroAttack2
shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)
shiro_attack
FastjonExploit | Fastjson漏洞快速利用框架
FastjsonExploit
fastjson_rce_tool fastjson命令执行自动化利用工具
fastjson_rce_tool
fastjson一键命令执行
fastjson_rec_exploit
Jboss(和 Java 反序列化漏洞)验证和利用工具
exBoss
weblogic利用工具weblogic-framework
weblogic-framework
woodpecker框架weblogic信息探测插件
weblogic-infodetector
Dubbo反序列化一键快速攻击测试工具
dubbo-exp
jenkins-attack-framework 针对 Jenkins 的攻击框架
jenkins-attack-framework
Jiraffe 是为利用 Jira 实例而编写的半自动安全工具。
Jiraffe
STS2G Struts2漏洞扫描利用工具 - Golang版
STS2G
Struts2-Scan Struts2全漏洞扫描利用工具
Struts2-Scan
spring boot Fat Jar 任意写文件漏洞到稳定 RCE 利用技巧
Fat Jar
项目简介
项目地址
项目名称
致远OA综合利用工具
seeyon_exp
通达OA综合利用工具
TDOA_RCE
蓝凌OA漏洞利用工具/前台无条件RCE/文件写入
LandrayExploit
泛微OA漏洞综合利用脚本
weaver_exp
锐捷网络EG易网关RCE批量安全检测
EgGateWayGetShell
CMSmap 针对流行CMS进行安全扫描的工具
CMSmap
使用Go开发的WordPress漏洞扫描工具
wprecon
一个 Ruby 框架,旨在帮助对 WordPress 系统进行渗透测试
wordpress-exploit-framework
WPScan WordPress 安全扫描器
wpscan
WPForce Wordpress 攻击套件
WPForce
项目简介
项目地址
项目名称
基于DOM的快速XSS漏洞扫描程序
findom-xss
很常用的XSS平台
beef
项目简介
项目地址
项目名称
MDUT 2.0 数据库利用工具
MDUT
综合高危漏洞利用工具(包含各大数据库)
LiqunKit
sqlserver利用工具
SharpSQLTools
通过套接字重用通过受损的 Microsoft SQL Server 在受限环境中执行横向移动
mssqlproxy
ODAT:Oracle 数据库攻击工具
ODAT
项目简介
项目地址
项目名称
集合了fscan和kscan等优秀工具功能的扫描爆破工具。
goon
超级弱口令检查工具是一款Windows平台的弱口令审计工具
超级弱口令检查工具
Web-Brutator 中间件接口爆破
Web-Brutator
WebCrack是一款web后台弱口令/万能密码批量检测工具
WebCrack
zero-crack Web应用(webapps)暴力破解小工具
zero-crack
WordPress 超级快速暴力破解工具
WordPress-Brute-Force
ssb 一种更快更简单的爆破SSH服务器的工具
ssh爆破
rsync弱密码扫描(爆破)
rsync
项目简介
项目地址
项目名称
- 在线整理的一些常见默认设备/应用密码
EdgeTeam
- 在线整理的一些华为系列设备默认密码表
EdgeTeam
- 渗透测试、SRC漏洞挖掘、爆破、Fuzzing等字典收集项目
Dictionary-Of-Pentesting
Fuzz 字典,一个就够了
Web Pentesting
- Web 模糊测试字典与一些Payloads
Web Fuzzing Box
上传漏洞fuzz字典生成脚本
upload-fuzz-dic-builder
安全评估期间使用的多种类型列表的集合
SecLists
渗透测试仪和Bug赏金猎人的 Payload 库
Payloads
基于实战沉淀下的各种弱口令字典
SuperWordlist
各类漏洞的 TOP25 参数字典
top25-parameter
提取收集以往泄露的密码中符合条件的强弱密码
RW_Password
项目简介
项目地址
项目名称
哥斯拉
Godzilla
“冰蝎”动态二进制加密网站管理客户端
Behinder
中国蚁剑是一款开源的跨平台网站管理工具
antSword
一句话WEB端管理工具
WebshellManager
跨平台版中国菜刀
Cknife
项目简介
项目地址
项目名称
各种密码提取
goLazagne
用于读取常用程序密码,如Navicat、TeamViewer、FileZilla、WinSCP等
SharpDecryptPwd
Xshell,Xftp密码解密工具
SharpXDecrypt
解密浏览器数据(密码|历史记录|Cookie|书签 | 信用卡 | 下载记录)的导出工具,支持全平台主流浏览器。
HackBrowserData
一款针对向日葵的识别码和验证码提取工具
Sunflower_get_Password
一键辅助抓取360安全浏览器密码的CobaltStrike脚本以及解密小工具
360SafeBrowsergetpass
BrowserGhost 抓取浏览器密码的工具
BrowserGhost
win-brute-logon 无需权限破解任何 Microsoft Windows 用户密码
win-brute-logon
TeamViewer:Bypass杀软 获取 Teamview 密码的工具
TeamViewer
Xdecrypt Xshell Xftp 密码解密
Xdecrypt
项目简介
项目地址
项目名称
Mimikatz Windows 密码抓取神器
mimikatz
sharpwmi基于rpc的横向移动工具,具有上传和执行命令功能
sharpwmi
文件下载命令快捷生成
快捷命令
反弹Shell命令一键生成
反弹shell
ATT&CK 横向移动总结技巧
attack
将哈希传递到命名管道以进行令牌模拟
NamedPipePTH
常见横向移动与域控权限维持方法
方法论
项目简介
项目地址
项目名称
全平台代理工具,支持多种socks协议
proxifier
专注于内网穿透的高性能的反向代理应用
frp
轻量级、高性能、功能强大的内网穿透代理服务器
nps
改进的reGeorg版本
Neo-reGeorg
是一款利用dns协议传输tcp数据的工具
dns2tcp
是一个DNS隧道工具
dnscat2
内网渗透代理、端口转发工具
Termite
一个简单的 reverse ICMP shell
icmpsh
正/反向代理,内网穿透,端口转发
ngrok
pingtunnel 是把 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的工具
pingtunnel
pystinger - 一款使用webshell进行流量转发的出网工具
pystinger
goproxy 一款轻量级、功能强大、高性能的多种代理工具
goproxy
一款可以在不出网的环境下进行反向代理及cs上线的工具
C2ReverseProxy
项目简介
项目地址
项目名称
主机侧Checklist的自动全面化检测脚本
Gscan
应急响应实战笔记,一个安全工程师的自我修养
Bypass007
linux信息收集/应急响应/常见后门/挖矿检测/webshell检测脚本
LinuxCheck
APT-Hunter Windows日志事件应急工具
APT-Hunter
uroboros-一个GNU/Linux监视和概要分析工具,专注于单个进程
uroboros
whohk linux下一款强大的应急响应工具
whohk
Malwoverview 是用于威胁搜寻的第一响应工具
malwoverview
Attack Surface Analyzer 可以帮助您分析操作系统的安全配置