2022HVV必備攻防滲透工具總結
VSole2022-05-22 06:05:48
首先恭喜你發現了寶藏。本項目集成了全網優秀的攻防武器項目,包含信息收集工具(自動化利用工具、資產發現工具、目錄掃描工具、子域名收集工具....etc...),漏洞利用工具(各大CMS利用工具、中間件利用工具等項目),內網滲透工具、應急響應工具、甲方運維工具、等其他安全資料項目,供攻防雙方使用。
Github地址:https://github.com/guchangan1/All-Defense-Tool
如果喜歡,請記得Star,以及follow哦!
目錄
半/全自動化利用工具
項目名稱 項目地址 項目簡介ShuiZe_0x727 https://github.com/0x727/ShuiZe_0x727 一條龍服務,只需要輸入根域名即可全方位收集相關資產,并檢測漏洞。也可以輸入多個域名、C段IP等,具體案例見下文。nemo_go https://github.com/hanc00l/nemo_go nemo_go自動化信息收集gosint https://github.com/1in9e/gosint 分布式資產信息收集和漏洞掃描平臺ApolloScanner https://github.com/b0bac/ApolloScanner 自動化巡航掃描框架(可用于紅隊打點評估)rengine https://github.com/yogeshojha/rengine 自動化偵查框架Railgun https://github.com/lz520520/railgun GUI界面的自動化工具在線工具集 https://github.com/iceyhexman/onlinetools 在線cms識別|信息泄露|工控|系統|物聯網安全|cms漏洞掃描|nmap端口掃描|子域名獲取|待續..AlliN https://github.com/P1-Team/AlliN 一個輔助平常滲透測試項目或者攻防項目快速打點的綜合工具AWVS-GUI https://github.com/x364e3ab6/AWVS-13-SCAN-PLUS Acunetix Web漏洞掃描程序 GUI版本]vajra https://github.com/r3curs1v3-pr0xy/vajra 一個高度可定制Web自動化掃描框架bayonet https://github.com/CTF-MissFeng/bayonet 從子域名、端口服務、漏洞、爬蟲等一體化的資產管理系統kscan https://github.com/lcvvvv/kscan 可針對指定IP段、資產清單、存活網段自動化進行端口掃描以及TCP指紋識別和Banner抓取
資產發現工具
項目名稱 項目地址 項目簡介linglong https://github.com/awake1t/linglong 資產無限巡航掃描系統LangSrcCurise https://github.com/LangziFun/LangSrcCurise SRC子域名資產監控ARL(燈塔) https://github.com/TophantTechnology/ARL 快速偵察與目標關聯的互聯網資產,構建基礎資產信息庫。AppInfoScanner https://github.com/kelvinBen/AppInfoScanner 移動端(Android、iOS、WEB、H5、靜態網站)信息收集掃描工具集成GoogleHacking語法來進行信息收集 https://github.com/TebbaaX/GRecon Grecon
子域名收集工具
項目簡介 項目地址 項目名稱在線子域名收集 https://rapiddns.io/subdomain 在線收集ssl證書掃域名 https://myssl.com/ myssl一款功能強大的子域收集工具 https://github.com/shmilylty/OneForAll oneforallksubdomain 無狀態子域名爆破工具 https://github.com/knownsec/ksubdomain ksubdomain好用且強大的子域名掃描工具 https://github.com/yunxu1/dnsub dnsubLayer子域名挖掘機 https://github.com/euphrat1ca/LayerDomainFinder Layersrc子域名監控 https://github.com/LangziFun/LangSrcCurise LangSrcCurise通過使用被動在線資源來發現網站的有效子域 https://github.com/projectdiscovery/subfinder subfinder
目錄掃描工具
項目簡介 項目地址 項目名稱Web path scanner 目錄掃描工具 https://github.com/maurosoria/dirsearch dirsearch用Rust編寫的快速,簡單,遞歸的內容發現工具 https://github.com/epi052/feroxbuster feroxbuster用Go編寫的模糊測試工具 https://github.com/ffuf/ffuf ffuf一個高級web目錄、文件掃描工具 https://github.com/H4ckForJob/dirmap dirmap網站的敏感目錄發掘工具 https://github.com/deibit/cansina cansina御劍后臺掃描工具珍藏版 https://www.fujieace.com/hacker/tools/yujian.html 御劍使用GoLang開發的目錄/子域掃描器 https://github.com/ReddyyZ/urlbrute urlbrute
指紋識別工具
項目簡介 項目地址 項目名稱紅隊重點攻擊系統指紋探測工具 https://github.com/EdgeSecurityTeam/EHole EHole(棱洞)2.0一個web應用程序指紋識別工具 https://github.com/urbanadventurer/WhatWeb WhatwebGolang實現Wappalyzer 指紋識別 https://github.com/projectdiscovery/wappalyzergo wappalyzergo一款紅隊在大量的資產中存活探測與重點攻擊系統指紋探測工具 https://github.com/EASY233/Finger FingerGlass是一款針對資產列表的快速指紋識別工具 https://github.com/s7ckTeam/Glass Glass功能齊全的Web指紋識別和分享平臺,內置了一萬多條互聯網開源的指紋信息。https://github.com/b1ackc4t/14Finger 14Finger
端口掃描工具
項目簡介 項目地址 項目名稱TXPortMap 實用型的端口掃描、服務識別工具 https://github.com/4dogs-cn/TXPortMap TXPortMap使用Golang開發的高并發網絡掃描、服務探測工具 https://github.com/Adminisme/ServerScan serverScannaabu 用 go 編寫的快速端口掃描器 https://github.com/projectdiscovery/naabu naabumasnmapscan 一款端口掃描器。整合了masscan和nmap兩款掃描器 https://github.com/hellogoldsnakeman/masnmapscan-V1.0 整合掃描器gonmap是一個go語言的nmap端口掃描庫 https://github.com/lcvvvv/gonmap gonmap在線端口掃描1 http://coolaf.com/tool/port 在線工具在線端口掃描2 http://tool.cc/port/ 在線工具2小米范
信息泄露利用工具
項目簡介 項目地址 項目名稱swagger-exp Swagger REST API 信息泄露利用工具 https://github.com/lijiejie/swagger-exp swagger-expswagger-hack 自動化爬取并測試所有swagger-ui.html接口 https://github.com/jayus0821/swagger-hack swagger-hackPacker Fuzzer 針對Webpack等前端打包工具所構造的網站進行檢測的掃描工具 https://github.com/rtcatc/Packer-Fuzzer Packer-FuzzerSvnExploit支持SVN源代碼泄露全版本Dump源碼 https://github.com/admintony/svnExploit svnExploitgit-dumper 從網站轉儲git存儲庫的工具 https://github.com/arthaud/git-dumper git-dumperGitDorker 通過使用大型的dorks庫來從GitHub抓取敏感信息 https://github.com/obheda12/GitDorker GitDorker從JavaScript文件中提取敏感信息 https://github.com/m4ll0k/SecretFinder SecretFinder功能比較多的一個JavaScript偵查自動化腳本 https://github.com/KathanP19/JSFScan.sh JSFScan
漏洞掃描框架/工具
項目簡介 項目地址 項目名稱高危漏洞精準檢測與深度利用框架 https://github.com/woodpecker-framework/woodpecker-framwork-release woodpecker-framworkWeb漏洞攻擊框架 https://github.com/Anonymous-ghost/AttackWebFrameworkTools AttackWebFrameworkTools開源的遠程漏洞測試框架 https://github.com/knownsec/pocsuite3 pocsuite3全新的開源在線 poc 測試框架 https://github.com/jweny/pocassist pocassist一款功能強大的安全評估工具 https://github.com/chaitin/xray Xray網絡安全測試工具 https://github.com/gobysec/Goby Goby是一款 web 漏洞掃描和驗證工具 https://github.com/zhzyker/vulmap Vulmap
中間件漏洞利用工具
綜合高危漏洞利用工具 https://github.com/Liqunkit/LiqunKit_ LiqunKitDubbo反序列化一鍵快速攻擊測試工具 https://github.com/threedr3am/dubbo-exp dubbo-expShiro-550-with-NoCC 不依賴CC鏈利用工具 https://github.com/dr0op/shiro-550-with-NoCC shiro-550-with-NoCCshiro反序列化漏洞綜合利用,包含(回顯執行命令/注入內存馬) https://github.com/j1anFen/shiro_attack shiro_attackFastjonExploit | Fastjson漏洞快速利用框架 https://github.com/c0ny1/FastjsonExploit FastjsonExploitfastjson_rce_tool fastjson命令執行自動化利用工具 https://github.com/wyzxxz/fastjson_rce_tool fastjson_rce_toolfastjson一鍵命令執行 https://github.com/mrknow001/fastjson_rec_exploit fastjson_rec_exploitJboss(和 Java 反序列化漏洞)驗證和利用工具 https://github.com/joaomatosf/jexboss exBossweblogic利用工具weblogic-framework https://github.com/0nise/weblogic-framework weblogic-frameworkwoodpecker框架weblogic信息探測插件 https://github.com/woodpecker-appstore/weblogic-infodetector weblogic-infodetectorjenkins-attack-framework 針對 Jenkins 的攻擊框架 https://github.com/Accenture jenkins-attack-frameworkJiraffe 是為利用 Jira 實例而編寫的半自動安全工具。https://github.com/0x48piraj/Jiraffe JiraffeSTS2G Struts2漏洞掃描利用工具 - Golang版 https://github.com/xwuyi/STS2G STS2GStruts2-Scan Struts2全漏洞掃描利用工具 https://github.com/HatBoy/Struts2-Scan Struts2-Scanspring boot Fat Jar 任意寫文件漏洞到穩定 RCE 利用技巧 https://github.com/LandGrey/spring-boot-upload-file-lead-to-rce-tricks Fat Jar
重點CMS利用工具
項目簡介 項目地址 項目名稱致遠OA綜合利用工具 https://github.com/Summer177/seeyon_exp seeyon_exp通達OA綜合利用工具 https://github.com/xinyu2428/TDOA_RCE TDOA_RCE藍凌OA漏洞利用工具/前臺無條件RCE/文件寫入 https://github.com/yuanhaiGreg/LandrayExploit LandrayExploit泛微OA漏洞綜合利用腳本 https://github.com/z1un/weaver_exp weaver_exp銳捷網絡EG易網關RCE批量安全檢測 https://github.com/Tas9er/EgGateWayGetShell EgGateWayGetShellCMSmap 針對流行CMS進行安全掃描的工具 https://github.com/Dionach/CMSmap CMSmap使用Go開發的WordPress漏洞掃描工具 https://github.com/blackbinn/wprecon wprecon一個 Ruby 框架,旨在幫助對 WordPress 系統進行滲透測試 https://github.com/rastating/wordpress-exploit-framework wordpress-exploit-frameworkWPScan WordPress 安全掃描器 https://github.com/wpscanteam/wpscan wpscanWPForce Wordpress 攻擊套件 https://github.com/n00py/WPForce WPForce
常規漏洞利用工具
項目簡介 項目地址 項目名稱基于DOM的快速XSS漏洞掃描程序 https://github.com/dwisiswant0/findom-xss findom-xss很常用的XSS平臺 https://github.com/beefproject/beef beef
數據庫利用工具
項目簡介 項目地址 項目名稱MDUT 2.0 數據庫利用工具 https://github.com/SafeGroceryStore/MDUT MDUT綜合高危漏洞利用工具(包含各大數據庫) https://github.com/Liqunkit/LiqunKit_ LiqunKitsqlserver利用工具 https://github.com/uknowsec/SharpSQLTools SharpSQLTools通過套接字重用通過受損的 Microsoft SQL Server 在受限環境中執行橫向移動 https://github.com/blackarrowsec/mssqlproxy mssqlproxyODAT:Oracle 數據庫攻擊工具 https://github.com/quentinhardy/odat ODAT
爆破工具
項目簡介 項目地址 項目名稱集合了fscan和kscan等優秀工具功能的掃描爆破工具。https://github.com/i11us0ry/goon goon超級弱口令檢查工具是一款Windows平臺的弱口令審計工具 https://github.com/shack2/SNETCracker 超級弱口令檢查工具Web-Brutator 中間件接口爆破 https://github.com/koutto/web-brutator Web-BrutatorWebCrack是一款web后臺弱口令/萬能密碼批量檢測工具 https://github.com/yzddmr6/WebCrack WebCrackzero-crack Web應用(webapps)暴力破解小工具 https://github.com/0-sec/zero-crack zero-crackWordPress 超級快速暴力破解工具 https://github.com/22XploiterCrew-Team/WordPress-Brute-Force WordPress-Brute-Forcessb 一種更快更簡單的爆破SSH服務器的工具 https://github.com/kitabisa/ssb ssh爆破rsync弱密碼掃描(爆破) https://github.com/hi-unc1e/some_scripts/blob/master/EXPs/rsync_weakpass.py rsync
字典收集
項目簡介 項目地址 項目名稱- 在線整理的一些常見默認設備/應用密碼 https://forum.ywhack.com/bountytips.php?password EdgeTeam- 在線整理的一些華為系列設備默認密碼表 https://forum.ywhack.com/bountytips.php?huawei EdgeTeam- 滲透測試、SRC漏洞挖掘、爆破、Fuzzing等字典收集項目 https://github.com/insightglacier/Dictionary-Of-Pentesting Dictionary-Of-PentestingFuzz 字典,一個就夠了 https://github.com/TheKingOfDuck/fuzzDicts Web Pentesting- Web 模糊測試字典與一些Payloads https://github.com/gh0stkey/Web-Fuzzing-Box Web Fuzzing Box上傳漏洞fuzz字典生成腳本 https://github.com/c0ny1/upload-fuzz-dic-builder upload-fuzz-dic-builder安全評估期間使用的多種類型列表的集合 https://github.com/danielmiessler/SecLists SecLists滲透測試儀和Bug賞金獵人的 Payload 庫 https://github.com/sh377c0d3/Payloads Payloads基于實戰沉淀下的各種弱口令字典 https://github.com/fuzz-security/SuperWordlist SuperWordlist各類漏洞的 TOP25 參數字典 https://github.com/lutfumertceylan/top25-parameter top25-parameter提取收集以往泄露的密碼中符合條件的強弱密碼 https://github.com/r35tart/RW_Password RW_Password
VSole
網絡安全專家