|
首要恭喜你发掘了宝藏。本项目集成为了全网优秀的攻防武器项目,包括信息收集工具(自动化利用工具、资产发掘工具、目录扫描工具、子域名收集工具....etc...),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目),内网渗透工具、应急响应工具、甲方运维工具、等其他安全资料项目,供攻防双方运用。倘若你有更好的意见,欢迎提出请求,本文收录全网优秀工具,欢迎大佬提交。
项目位置:https://github.com/guchangan1/All-Defense-Tool
半/全自动化利用工具项目名叫作项目位置项目简介ShuiZe_0x727https://github.com/0x727/ShuiZe_0x727一条龙服务,只需要输入根域名就可全方位收集关联资产,并检测漏洞。亦能够输入多个域名、C段IP等,详细案例见下文。nemo_gohttps://github.com/hanc00l/nemo_gonemo_go自动化信息收集gosinthttps://github.com/1in9e/gosint分布式资产信息收集和漏洞扫描平台ApolloScannerhttps://github.com/b0bac/ApolloScanner自动化巡航扫描框架(可用于红队打点评定)renginehttps://github.com/yogeshojha/rengine自动化侦查框架Railgunhttps://github.com/lz520520/railgunGUI界面的自动化工具在线工具集https://github.com/iceyhexman/onlinetools在线cms识别|信息泄密|工控|系统|物联网安全|cms漏洞扫描|nmap端口扫描|子域名获取|待续..AlliNhttps://github.com/P1-Team/AlliN一个辅助平常渗透测试项目或攻防项目快速打点的综合工具AWVS-GUIhttps://github.com/x364e3ab6/AWVS-13-SCAN-PLUSAcunetix Web漏洞扫描程序 GUI版本]vajrahttps://github.com/r3curs1v3-pr0xy/vajra一个高度可定制Web自动化扫描框架bayonethttps://github.com/CTF-MissFeng/bayonet从子域名、端口服务、漏洞、爬虫等一体化的资产管理系统kscanhttps://github.com/lcvvvv/kscan可针对指定IP段、资产名单、存活网段自动化进行端口扫描以及TCP指纹识别和Banner抓取资产发掘工具项目名叫作项目位置项目简介linglonghttps://github.com/awake1t/linglong资产无限巡航扫描系统LangSrcCurisehttps://github.com/LangziFun/LangSrcCuriseSRC子域名资产监控ARL(灯塔)https://github.com/TophantTechnology/ARL快速侦察与目的相关的互联网资产,构建基本资产信息库。AppInfoScannerhttps://github.com/kelvinBen/AppInfoScanner移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具集成GoogleHacking语法来进行信息收集https://github.com/TebbaaX/GReconGrecon子域名收集工具项目简介项目位置项目名叫作在线子域名收集https://rapiddns.io/subdomain在线收集ssl证书扫域名https://myssl.com/myssl一款功能强大的子域收集工具https://github.com/shmilylty/OneForAlloneforallksubdomain 无状态子域名爆破工具https://github.com/knownsec/ksubdomainksubdomain好用且强大的子域名扫描工具https://github.com/yunxu1/dnsubdnsubLayer子域名挖掘机https://github.com/euphrat1ca/LayerDomainFinderLayersrc子域名监控https://github.com/LangziFun/LangSrcCuriseLangSrcCurise经过运用被动在线资源来发掘网站的有效子域https://github.com/projectdiscovery/subfindersubfinder目录扫描工具项目简介项目位置项目名叫作Web path scanner 目录扫描工具https://github.com/maurosoria/dirsearchdirsearch用Rust编写的快速,简单,递归的内容发掘工具https://github.com/epi052/feroxbusterferoxbuster用Go编写的模糊测试工具https://github.com/ffuf/ffufffuf一个高级web目录、文件扫描工具https://github.com/H4ckForJob/dirmapdirmap网站的敏锐目录发掘工具https://github.com/deibit/cansinacansina御剑后台扫描工具珍藏版https://www.fujieace.com/hacker/tools/yujian.html御剑运用GoLang研发的目录/子域扫描器https://github.com/ReddyyZ/urlbruteurlbrute指纹识别工具项目简介项目位置项目名叫作红队重点攻击系统指纹探测工具https://github.com/EdgeSecurityTeam/EHoleEHole(棱洞)2.0功能齐全的Web指纹识别和分享平台,内置了一万多条互联网开源的指纹信息。https://github.com/b1ackc4t/14Finger14Finger一个web应用程序指纹识别工具https://github.com/urbanadventurer/WhatWebWhatwebGolang实现Wappalyzer 指纹识别https://github.com/projectdiscovery/wappalyzergowappalyzergo一款红队在海量的资产中存活探测与重点攻击系统指纹探测工具https://github.com/EASY233/FingerFingerGlass是一款针对资产列表的快速指纹识别工具https://github.com/s7ckTeam/GlassGlass端口扫描工具项目简介项目位置项目名叫作TXPortMap 实用型的端口扫描、服务识别工具https://github.com/4dogs-cn/TXPortMapTXPortMap运用Golang研发的高并发网络扫描、服务探测工具https://github.com/Adminisme/ServerScanserverScannaabu 用 go 编写的快速端口扫描器https://github.com/projectdiscovery/naabunaabumasnmapscan 一款端口扫描器。整合了masscan和nmap两款扫描器https://github.com/hellogoldsnakeman/masnmapscan-V1.0整合扫描器gonmap是一个go语言的nmap端口扫描库https://github.com/lcvvvv/gonmapgonmap在线端口扫描1http://coolaf.com/tool/port在线工具在线端口扫描2http://tool.cc/port/在线工具2小米范Burp+浏览器插件项目简介项目位置项目名叫作相关burpsuite的插件(非商店),文案以及运用技巧的收集https://github.com/Mr-xn/BurpSuite-collectionsBurpSuite-collections一款基于BurpSuite的被动式shiro检测插件https://github.com/pmiaowu/BurpShiroPassiveScanBurpShiroPassiveScan一款基于BurpSuite的被动式FastJson检测插件https://github.com/pmiaowu/BurpFastJsonScanBurpFastJsonScanfastjson漏洞burp插件,检测fastjson小于1.2.68基于dnsloghttps://github.com/zilong3033/fastjsonScanfastjsonScanHaE 请求高亮标记与信息提取的辅助型 BurpSuite 插件https://github.com/gh0stkey/HaEHaEdomain_hunter_pro 一个资产管理类的Burp插件https://github.com/bit4woo/domain_hunter_prodomain_hunter_proGadgetProbe Burp插件 用来爆破远程类查询Java反序列化https://github.com/BishopFox/GadgetProbeGadgetProbeHopLa 自动补全 Payload 的 BurpSuite插件https://github.com/synacktiv/HopLaHopLa验证码识别https://github.com/f0ng/captcha-killer-modifiedcaptcha-killer-modified伪造ip位置https://github.com/TheKingOfDuck/burpFakeIPburpFakeIP自动发送请求https://github.com/nccgroup/AutoRepeaterAutoRepeaterHack-Tools 适用于红队的浏览器扩展插件https://github.com/LasCC/Hack-ToolsHack-ToolsSwitchyOmega 浏览器的代理插件https://github.com/FelisCatus/SwitchyOmegaSwitchyOmegaChrome插件.运用DevTools查询DOM XSShttps://github.com/filedescriptor/untrusted-typesuntrusted-typesFOFA Pro view 是一款FOFA Pro 资产展示浏览器插件https://github.com/fofapro/fofa_viewfofa_viewmitaka 用于 OSINT 搜索的Chrome和Firefox扩展https://github.com/ninoseki/mitakamitakaGit History 查看git存储库文件的历史记录https://githistory.xyz/Git History漏洞利用工具
信息泄密利用工具项目简介项目位置项目名叫作swagger-exp Swagger REST API 信息泄密利用工具https://github.com/lijiejie/swagger-expswagger-expswagger-hack 自动化爬取并测试所有swagger-ui.html接口https://github.com/jayus0821/swagger-hackswagger-hackPacker Fuzzer 针对Webpack等前端打包工具所构造的网站进行检测的扫描工具https://github.com/rtcatc/Packer-FuzzerPacker-FuzzerSvnExploit支持SVN源代码泄密全版本Dump源码https://github.com/admintony/svnExploitsvnExploitgit-dumper 从网站转储git存储库的工具https://github.com/arthaud/git-dumpergit-dumperGitDorker 经过运用大型的dorks库来从GitHub抓取敏锐信息https://github.com/obheda12/GitDorkerGitDorker从JavaScript文件中提取敏锐信息https://github.com/m4ll0k/SecretFinderSecretFinder功能比较多的一个JavaScript侦查自动化脚本https://github.com/KathanP19/JSFScan.shJSFScan漏洞扫描框架/工具项目简介项目位置项目名叫作高危漏洞精细检测与深度利用框架https://github.com/woodpecker-framework/woodpecker-framwork-releasewoodpecker-framworkWeb漏洞攻击框架https://github.com/Anonymous-ghost/AttackWebFrameworkToolsAttackWebFrameworkTools开源的远程漏洞测试框架https://github.com/knownsec/pocsuite3pocsuite3全新的开源在线 poc 测试框架https://github.com/jweny/pocassistpocassist一款功能强大的安全评定工具https://github.com/chaitin/xrayXray网络安全测试工具https://github.com/gobysec/GobyGoby是一款 web 漏洞扫描和验证工具https://github.com/zhzyker/vulmapVulmap中间件漏洞利用工具项目简介项目位置项目名叫作综合高危漏洞利用工具https://github.com/Liqunkit/LiqunKit_LiqunKitSpring系列漏洞利用工具https://github.com/SummerSec/SpringExploitSpringExploitshiro反序列化漏洞综合利用,包括(回显执行命令/注入内存马)修复原版中NoCC的问题https://github.com/SummerSec/ShiroAttack2ShiroAttack2shiro反序列化漏洞综合利用,包括(回显执行命令/注入内存马)https://github.com/j1anFen/shiro_attackshiro_attackFastjonExploit | Fastjson漏洞快速利用框架https://github.com/c0ny1/FastjsonExploitFastjsonExploitfastjson_rce_tool fastjson命令执行自动化利用工具https://github.com/wyzxxz/fastjson_rce_toolfastjson_rce_toolfastjson一键命令执行https://github.com/mrknow001/fastjson_rec_exploitfastjson_rec_exploitJboss(和 Java 反序列化漏洞)验证和利用工具https://github.com/joaomatosf/jexbossexBossweblogic利用工具weblogic-frameworkhttps://github.com/0nise/weblogic-frameworkweblogic-frameworkwoodpecker框架weblogic信息探测插件https://github.com/woodpecker-appstore/weblogic-infodetectorweblogic-infodetectorDubbo反序列化一键快速攻击测试工具https://github.com/threedr3am/dubbo-expdubbo-expjenkins-attack-framework 针对 Jenkins 的攻击框架https://github.com/Accenturejenkins-attack-frameworkJiraffe 是为利用 Jira 实例而编写的半自动安全工具。https://github.com/0x48piraj/JiraffeJiraffeSTS2G Struts2漏洞扫描利用工具 - Golang版https://github.com/xwuyi/STS2GSTS2GStruts2-Scan Struts2全漏洞扫描利用工具https://github.com/HatBoy/Struts2-ScanStruts2-Scanspring boot Fat Jar 任意写文件漏洞到稳定 RCE 利用技巧https://github.com/LandGrey/spring-boot-upload-file-lead-to-rce-tricksFat Jar重点cms利用工具项目简介项目位置项目名叫作致远OA综合利用工具https://github.com/Summer177/seeyon_expseeyon_exp通达OA综合利用工具https://github.com/xinyu2428/TDOA_RCETDOA_RCE蓝凌OA漏洞利用工具/前台无要求RCE/文件写入https://github.com/yuanhaiGreg/LandrayExploitLandrayExploit泛微OA漏洞综合利用脚本https://github.com/z1un/weaver_expweaver_exp锐捷网络EG易网关RCE批量安全检测https://github.com/Tas9er/EgGateWayGetShellEgGateWayGetShellCMSmap 针对流行CMS进行安全扫描的工具https://github.com/Dionach/CMSmapCMSmap运用Go研发的WordPress漏洞扫描工具https://github.com/blackbinn/wpreconwprecon一个 Ruby 框架,旨在帮忙对 WordPress 系统进行渗透测试https://github.com/rastating/wordpress-exploit-frameworkwordpress-exploit-frameworkWPScan WordPress 安全扫描器https://github.com/wpscanteam/wpscanwpscanWPForce Wordpress 攻击套件https://github.com/n00py/WPForceWPForce常规漏洞利用工具项目简介项目位置项目名叫作基于DOM的快速XSS漏洞扫描程序https://github.com/dwisiswant0/findom-xssfindom-xss很常用的XSS平台https://github.com/beefproject/beefbeef数据库利用工具项目简介项目位置项目名叫作MDUT 2.0 数据库利用工具https://github.com/SafeGroceryStore/MDUTMDUT综合高危漏洞利用工具(包括各大数据库)https://github.com/Liqunkit/LiqunKit_LiqunKitsqlserver利用工具https://github.com/uknowsec/SharpSQLToolsSharpSQLTools经过套接字重用经过受损的 Microsoft SQL Server 在受限环境中执行横向移动https://github.com/blackarrowsec/mssqlproxymssqlproxyODAT:Oracle 数据库攻击工具https://github.com/quentinhardy/odatODAT爆破工具项目简介项目位置项目名叫作集合了fscan和kscan等优秀工具功能的扫描爆破工具。https://github.com/i11us0ry/goongoon超级弱口令检测工具是一款Windows平台的弱口令审计工具https://github.com/shack2/SNETCracker超级弱口令检测工具Web-Brutator 中间件接口爆破https://github.com/koutto/web-brutatorWeb-BrutatorWebCrack是一款web后台弱口令/万能秘码批量检测工具https://github.com/yzddmr6/WebCrackWebCrackzero-crack Web应用(webapps)暴力破解小工具https://github.com/0-sec/zero-crackzero-crackWordPress 超级快速暴力破解工具https://github.com/22XploiterCrew-Team/WordPress-Brute-ForceWordPress-Brute-Forcessb 一种更快更简单的爆破SSH服务器的工具https://github.com/kitabisa/ssbssh爆破rsync弱秘码扫描(爆破)https://github.com/hi-unc1e/some_scripts/blob/master/EXPs/rsync_weakpass.pyrsync字典收集项目简介项目位置项目名叫作- 在线整理的有些平常默认设备/应用秘码https://forum.ywhack.com/bountytips.php?passwordEdgeTeam- 在线整理的有些华为系列设备默认秘码表https://forum.ywhack.com/bountytips.php?huaweiEdgeTeam- 渗透测试、SRC漏洞挖掘、爆破、Fuzzing等字典收集项目https://github.com/insightglacier/Dictionary-Of-PentestingDictionary-Of-PentestingFuzz 字典,一个就够了https://github.com/TheKingOfDuck/fuzzDictsWeb Pentesting- Web 模糊测试字典与有些Payloadshttps://github.com/gh0stkey/Web-Fuzzing-BoxWeb Fuzzing Box上传漏洞fuzz字典生成脚本https://github.com/c0ny1/upload-fuzz-dic-builderupload-fuzz-dic-builder安全评定时期运用的多种类型列表的集合https://github.com/danielmiessler/SecListsSecLists渗透测试仪和Bug赏金猎人的 Payload 库https://github.com/sh377c0d3/PayloadsPayloads基于实战沉淀下的各样弱口令字典https://github.com/fuzz-security/SuperWordlistSuperWordlist各类漏洞的 TOP25 参数字典https://github.com/lutfumertceylan/top25-parametertop25-parameter提取收集以往泄密的秘码中符合要求的强弱秘码https://github.com/r35tart/RW_PasswordRW_Password内网渗透工具
webshell托管工具项目简介项目位置项目名叫作哥斯拉https://github.com/BeichenDream/GodzillaGodzilla“冰蝎”动态二进制加密网站管理客户端https://github.com/rebeyond/BehinderBehinder中国蚁剑是一款开源的跨平台网站管理工具https://github.com/AntSwordProject/antSwordantSword一句话WEB端管理工具https://github.com/boy-hack/WebshellManagerWebshellManager跨平台版中国菜刀https://github.com/Chora10/CknifeCknife秘码提取工具项目简介项目位置项目名叫作各样秘码提取https://github.com/kerbyj/goLazagnegoLazagne用于读取常用程序秘码,如Navicat、TeamViewer、FileZilla、WinSCP等https://github.com/RowTeam/SharpDecryptPwdSharpDecryptPwdXshell,Xftp秘码解密工具https://github.com/JDArmy/SharpXDecryptSharpXDecrypt解密浏览器数据(秘码|历史记录|Cookie|书签 | 信用卡 | 下载记录)的导出工具,支持全平台主流浏览器。https://github.com/moonD4rk/HackBrowserData/HackBrowserData一款针对向日葵的识别码和验证码提取工具https://github.com/wafinfo/Sunflower_get_PasswordSunflower_get_Password一键辅助抓取360安全浏览器秘码的CobaltStrike脚本以及解密小工具https://github.com/hayasec/360SafeBrowsergetpass360SafeBrowsergetpassBrowserGhost 抓取浏览器秘码的工具https://github.com/QAX-A-Team/BrowserGhostBrowserGhostwin-brute-logon 无需权限破解任何 Microsoft Windows 用户秘码https://github.com/DarkCoderSc/win-brute-logonwin-brute-logonTeamViewer:Bypass杀软 获取 Teamview 秘码的工具https://github.com/wafinfo/TeamViewerTeamViewerXdecrypt Xshell Xftp 秘码解密https://github.com/dzxs/XdecryptXdecrypt横向移动工具项目简介项目位置项目名叫作Mimikatz Windows 秘码抓取神器https://github.com/gentilkiwi/mimikatzmimikatzsharpwmi基于rpc的横向移动工具,拥有上传和执行命令功能https://github.com/QAX-A-Team/sharpwmisharpwmi文件下载命令快捷生成https://forum.ywhack.com/bountytips.php?download快捷命令反弹Shell命令一键生成https://forum.ywhack.com/shell.php反弹shellATT&CK 横向移动总结技巧https://attack.mitre.org/tactics/TA0008/attack将哈希传递到命名管道以进行令牌模拟https://github.com/S3cur3Th1sSh1t/NamedPipePTHNamedPipePTH平常横向移动与域控权限维持办法https://xz.aliyun.com/t/9382方法论隧道代理工具项目简介项目位置项目名叫作全平台代理工具,支持多种socks协议https://www.proxifier.com/proxifier专注于内网穿透的高性能的反向代理应用https://github.com/fatedier/frpfrp轻量级、高性能、功能强大的内网穿透代理服务器https://github.com/ehang-io/npsnps改进的reGeorg版本https://github.com/L-codes/Neo-reGeorgNeo-reGeorg是一款利用dns协议传输tcp数据的工具https://github.com/alex-sector/dns2tcpdns2tcp是一个DNS隧道工具https://github.com/iagox86/dnscat2dnscat2内网渗透代理、端口转发工具http://rootkiter.com/Termite/Termite一个简单的 reverse ICMP shellhttps://github.com/inquisb/icmpshicmpsh正/反向代理,内网穿透,端口转发https://github.com/inconshreveable/ngrokngrokpingtunnel 是把 tcp/udp/sock5 流量伪装成 icmp 流量进行转发的工具https://github.com/esrrhs/pingtunnelpingtunnelpystinger - 一款运用webshell进行流量转发的出网工具https://github.com/FunnyWolf/pystingerpystingergoproxy 一款轻量级、功能强大、高性能的多种代理工具https://github.com/snail007/goproxygoproxy一款能够在不出网的环境下进行反向代理及cs上线的工具https://github.com/Daybr4ak/C2ReverseProxyC2ReverseProxy运维&甲方&防守方工具
应急响应工具项目简介项目位置项目名叫作主机侧Checklist的自动全面化检测脚本https://github.com/grayddq/GScanGscan应急响应实战笔记,一个安全工程师的自我修养https://github.com/Bypass007/Emergency-Response-NotesBypass007linux信息收集/应急响应/平常后门/挖矿检测/webshell检测脚本https://github.com/al0ne/LinuxCheckLinuxCheckAPT-Hunter Windows日志事件应急工具https://github.com/ahmedkhlief/APT-HunterAPT-Hunteruroboros-一个GNU/Linux监测和概要分析工具,专注于单个进程https://github.com/evilsocket/uroborosuroboroswhohk linux下一款强大的应急响应工具https://github.com/heikanet/whohkwhohkMalwoverview 是用于威胁搜寻的第1响应工具https://github.com/alexandreborges/malwoverviewmalwoverviewAttack Surface Analyzer 能够帮忙您分析操作系统的安全配置https://github.com/Microsoft/AttackSurfaceAnalyzerAttackSurfaceAnalyzer一款基于 IP 信誉度信息实现的实时检测 Web 恶意流量的工具https://github.com/CRED-CLUB/ARTIFARTIFRootkit Hunter Rootkit猎手http://rkhunter.sourceforge.net/RootkitSHELLPUB.COM 专注查杀 河马webshell查杀https://www.shellpub.com/河马webshell火麒麟-网络安全应急响应工具(系统痕迹采集)https://github.com/MountCloud/FireKylinFireKylin日志分析库,nuclei 的另一种用法https://github.com/ffffffff0x/LOG-HUBLOG-HUB安全资料整理
正在整理中………………
| 
发表于 2024-10-10 03:53:13