一个 Red Team 攻击的生命周期包括:
信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。
红队资源目录
;mitre科技机构对攻击技术的总结wiki
;MITRE | ATT&CK 中文站
;康奈尔大学(Cornell University)开放文档
;OWASP项目
?page=security/hackingillustrated 国内外安全大会相关视频与文档
;KCon大会文章PPT
;各种相关安全思维导图集合
;知道创宇技能列表
;灰袍技能书2017版本
;GitHub万星推荐:黑客成长技术清单
;安全相关电影
;一个用于了解车辆安全和汽车黑客的资源清单
;安全产品厂商分类
;麻省理工机器学习视频
;py,结巴中文分词
;py,清华中文分词
;py3,北大中文分词
;吴恩达机器学习python笔记
;机器学习具体项目、演示、代码
;一本开源的NLP(神经语言程序学)入门书籍
;一句话木马的套路
目录
攻防测试手册
;PHP安全新闻早8点课程系列高持续渗透--Microporor
;Microporor高级攻防100课
;包含100课等经典攻防教材、安全知识
;红蓝方攻防手册
;优秀红队资源列表
;红队标准渗透测试流程+常用命令
;文章收集:安全部、SDL、src、渗透测试、漏洞利用
;各种公开的文件和相关的APT笔记,还有软件样本
;Web Hacking 101 中文版
;web渗透测试笔记
;Web安全资料和资源列表
;渗透测试常见条目
;渗透攻击链中常用工具及使用场景
;渗透测试方向优秀资源收集
;渗透测试/安全秘籍/笔记
内网安全文档
;mitre机构对横向移动的总结
;彻底理解Windows认证 - 议题解读
;内网大牛的学习历程
;从零开始内网渗透学习
;内网渗透TIPS
学习手册相关资源
;多个项目的速查手册(Beacon / Cobalt Strike,PowerView,PowerUp,Empire和PowerSploit)
;Kali Linux Web渗透测试秘籍 中文版
;kali下工具使用介绍手册
;kali出的metasploit指导笔记
;hydra使用手册
;burpsuite实战指南
;Nmap扩展脚本使用方法
;XSS的21个扩展用途
;sql注入sheet表
;你要的sql注入知识点都能找到
;一个专注于聚合和记录各种SQL注入方法的wiki
;Linux exploit 开发入门
;浅入浅出Android安全 中文版
;Android 渗透测试学习手册 中文版
;ios漏洞writeup笔记
;ssrf漏洞利用手册
checklist和基础安全知识
;网络安全科普小册子
;网络安全电子版教材。中传信安课程网站
;mitre机构att&ck入侵检测条目
;表类型包括用户名,密码,URL,敏感数据模式,模糊测试负载,Web shell等
;api接口测试checklist
;分享在建设安全管理体系、ISO27001、等级保护、安全评审过程中的点点滴滴
https://mp.weixin.qq.com/s/O36e0gl4cs0ErQPsb5L68Q 区块链,以太坊智能合约审计 CheckList
;区块链,EOS bp nodes security checklist(EOS超级节点安全执行指南)
;金融科技SDL安全设计checklist
;由几家咨询公司和学术安全组织发布的公共渗透测试报告的列表。
;开源软件创建SOC的一份清单
;owasp网站检查条目
;SDL开发安全生命周期管理
;linux下服务器一键加固脚本
;数据库基线检查工具
产品设计文档
;构建一个高交互型的难以发现的蜜罐
;利用开源文件进行开源安全架构.主机、扫描器、端口、日志、防护设备等
;用Python从零开始创建区块链
;从0开始你的域渗透之旅,DarthSidious 中文版
;如何使用 KittyFuzzer 结合 ISF 中的工控协议组件对工控协议进行 Fuzz
学习靶场
;124个合法的可以练习Hacking技术的网站
;学web安全去哪里找各种各样的靶场?
;许多ctf靶机汇总
;世界知名ctf汇总交流网站
;谷歌XSS挑战
;在线靶场挑战
;在线靶场挑战
;在线靶场挑战
;bWAPP,包含 100多种漏洞环境
;多种漏洞复现系统的docker汇总
;常见web安全实验靶场市场
;web安全实验靶场
;新手指南:DVWA-1.9全级别教程
;php,常见漏洞靶场
;php,常见漏洞靶场
;py2,常见漏洞靶场
;py,常见漏洞靶场
;php,韩国一个偏代码审计的ctf靶场源码
;一键jar包,web安全实验靶场
;基于SQLite的sql注入学习靶场
;通过sqli-labs演示mysql相关的注入手法
;一个帮你总结所有类型的上传漏洞的靶场
;upload-labs指导手册
;本地文件包含漏洞&&PHP利用协议&&实践源码
;一个虚拟机文件用于linux提权练习
;适用于ios应用程序测试和安全性的学习工具
;适用于ios应用程序测试和安全性的学习工具
;metasploit练习系统
;基于perl的metasploit模拟环境,练习操作
;AD域环境的搭建、渗透、防护
;一个包含php,java,python,C#等各种语言版本的XXE漏洞Demo
漏洞复现
;Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,执行两条命令即可编译、运行一个完整的漏洞靶场镜像
;收集各种漏洞环境,为方便使用,统一采用 Dockerfile 形式。同时也收集了安全工具环境。
;制作在线docker平台
开源漏洞库
#!/ 2016年之前,乌云Drops文章,公开漏洞详情文章
;2016年之前,乌云Drops文章,公开漏洞详情文章
;公开漏洞详情文章
;同程安全公开漏洞详情文章
;中国国家工控漏洞库
;美国国家工控漏洞库
?act=sec_bug 绿盟漏洞库,含工控
;威努特工控漏洞库
;CVE中文工控漏洞库
;美国MITRE公司负责维护的CVE漏洞库
;美国Offensive Security的漏洞库
;美国国家信息安全漏洞库
工具包集合
;史上最全攻击模拟工具盘点
;信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、清理痕迹
;黑帽大会工具集
;K8哥哥工具包集合。解压密码Kk8team,Kk8gege
;安全工具集
;安全工具集
;win、linux、mac等多方面apt利用手段、技术与工具集
;Cooolis是一个操作系统命令技巧备忘录,https://cooolis.payloads.online
https://github.com/LOLBAS-Project/LOLBAS 常见的渗透测试利用的脚本与二进制文件集合
:CSRFTester-1.0.zip csrf验证工具
;以访问文件系统的方式访问物理内存, 可读写, 有易于使用的接口. 当前支持Windows
;检测 Windows 远程打印机服务是否开启的工具
;直接向CiscoASA防火墙发送命令, 无需登录防火墙后再做修改
;能够操作字节码框架,通过它我们能很轻易的修改class代码文件
;用于以太坊智能协议的安全分析工具
;用于检查 Linux 内核配置中的安全加固选项的脚本
;ip地址定位库,支持python3等多接口。类比geoip
;基于rust的HEVD 漏洞利用程序
;针对json web token的检测
;域密码配置审计
;域解析漏洞,跨域扫描器
;域解析漏洞,跨域扫描器
;ipv6端口快速扫描器
;go,ipv6地址枚举扫描
;命令注入漏洞扫描
;DAVScan是一款快速轻便的webdav扫描仪,旨在发现DAV启用的Web服务器上的隐藏文件和文件夹
;目录遍历漏洞测试
;根据docker镜像生成成dockerfile
;docker扫描工具
;通过定制化的谷歌搜索引擎进行漏洞页面搜寻及扫描
;基于搜索引擎的漏洞网页搜寻
;大规模向程序中植入恶意程序
;关联域名、IP 和电子邮件地址之间的数据并将其可视化输出
;枚举出被 Windows Defender 排除扫描的配置
;剪贴板劫持利用工具
;日志清理、文件共享、反向shell、简单爬虫工具包
;漏洞测试验证辅助平台,SONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
;http调试工具,类似curl,功能更完善
;http调试工具,带界面
漏洞收集与exp、poc利用
;python3的poc、exp快速编写模板,有众多模范版本
;linux漏洞利用开发手册
;包含linux下软件漏洞列表
;各种漏洞poc、Exp的收集或编写
;Sem Voigtländer 公开其发现的 iOS 中各种漏洞,包括(Writeup/POC/Exploit)
;CVE-2018-4407,macos/ios缓冲区溢出可导致系统崩溃
;py2,仿照searchsploit通过各种数据库的官方接口进行payload的查找
;CMS漏洞测试用例集合
;各种开源CMS 各种版本的漏洞以及EXP
;CMS新老版本exp与系统漏洞搜集表
;CVE-2018-10933,libssh服务端身份验证绕过
;CVE-2018-10933,libssh服务端身份验证绕过
;Adobe Flash Exploit生成payload
;扫描js扩展库的常见漏洞
;服务器端模板注入漏洞的半自动化工具
;探测客户端AngularJS模板注入漏洞工具
;Jenkins漏洞探测、用户抓取爆破
;服务器端模板注入漏洞检测与利用工具
;Java,IIS短文件名暴力枚举漏洞利用工具
;py2,IIS短文件名漏洞扫描
;CRLF注入漏洞批量扫描
;SSL漏洞扫描,例如心脏滴血漏洞等
;RegEx拒绝服务扫描器
;利用imap_open绕过php exec函数禁用
;利用mysql服务端恶意配置读取客户端文件,(如何利用MySQL LOCAL INFILE读取客户端文件,Read MySQL Clients File,【技术分享】从MySQL出发的反击之路)
;CVE-2015-4027,AWVS10命令执行漏洞
;Pwn the n00bs - Acunetix 0day,awvs8命令执行漏洞
;科学计算框架numpy命令执行RCE漏洞
;jenkins远程命令执行
;WinRar执行漏洞加使用介绍
物联网路由工控漏洞收集
;测试思科ASA路径穿越漏洞,可获取系统详细信息
;利用tcp漏洞使无线路由器产生隐私泄露
;CVE-2018-9995摄像头路由,Get DVR Credentials
java反序列化漏洞收集
;java反序列化利用
;借助DNS解析来检测Java反序列化漏洞工具
;Apache-Struts漏洞利用工具
;struts2 CVE-2018-11776 漏洞检测工具
;struts2-057利用脚本
;struts2漏洞的检测工具
;批量检测struts命令执行漏洞
;Struts2-045漏洞批量扫描工具
;基于perl的strut2的历史漏洞扫描
;java反序列化漏洞收集
;weblogic漏洞利用工具
;Weblogic CVE-2018-3191远程代码命令执行
;weblogic cve-2018-2893与cve-2018-3245远程代码命令执行
;用于Java Remote Method Invocation服务的工具/rmi的枚举与远程命令执行
;JBoss和其他java序列化漏洞验证和开发工具
;java反序列化利用工具
版本管理平台漏洞收集
;.svn文件夹泄漏利用工具
;Seay-Svn源代码泄露漏洞利用工具,2014-05-05版
;.git文件利用工具,lijiejie改进版
;.git文件利用工具
MS与Office漏洞收集
;.NET Framework换行符漏洞,CVE-2017-8759完美复现(另附加hta+powershell弹框闪烁解决方案)https://www.freebuf.com/vuls/147793.html
https://github.com/WyAtu/CVE-2018-8581 Exchange使用完成添加收信规则的操作进行横向渗透和提权漏洞
;PS,用于在Microsoft Exchange环境搜索电子邮件查找特定邮件(密码、网络架构信息等)
;GO,通过MAPI / HTTP或RPC / HTTP协议远程与Exchange服务器进行交互,通过客户端Outlook功能远程获取shell
;扫描内网永恒之蓝ETERNAL445SMB系列漏洞
;windows命令执行RCE漏洞POC样本,分为web与文件两种形式
;CVE-2017-8464,win快捷方式远程执行漏洞
;Windows的msxml解析器漏洞可以通过ie或vbs执行后门
;利用Excel 4.0宏躲避杀软检测的攻击技术分析
;XXE漏洞利用
;浅谈XXE漏洞攻击与防御
;word2016,滥用Word联机视频特征执行恶意代码poc
;word2016,滥用Word联机视频特征执行恶意代码介绍
;无需开启宏即可在word文档中利用DDE执行命令
;无需开启宏即可在word文档中利用DDE执行命令利用
;利用word文档RTF获取shell,https://evi1cg.me/archives/CVE_2017_11882_exp.html
;利用word文档hta获取shell,http://www.freebuf.com/vuls/147793.html
https://fuping.site/2017/04/18/CVE-2017-0199漏洞复现过程 WORD RTF 文档,配合msf利用
;利用ppsx幻灯片远程命令执行,https://github.com/rxwx/CVE-2017-8570
https://github.com/0x09AL/CVE-2018-8174-msf 目前支持的版本是 32 位 IE 浏览器和 32 位 office。网页访问上线,浏览器关闭,shell 依然存活,http://www.freebuf.com/vuls/173727.html
http://www.4hou.com/technology/9405.html 在 Office 文档的属性中隐藏攻击载荷
;构造PPSX钓鱼文件
;PowerShell脚本,生成含有恶意宏的Microsoft Office文档
;生成独立于体系结构的VBA代码,用于Office文档或模板,并自动绕过应用程序控制
;基于ps,用于创建恶意的Office宏文档
;MS Office文档、VBS格式、快捷方式payload捆绑
;一组通过Office宏传递有效载荷的脚本
相关工具拓展插件
;中国蚁剑插件市场
kali环境下拓展插件;py,图形化应用程序联动Nmap、Nikto、Hydra等工具
;linux下类似于kali的工具包一键安装工具
;使用linux服务器自动安装kali工具包
;py2,simple,联动kali下工具,漏洞扫描工具
;将kali设置为一个路由流量分析系统
Nessus相关工具拓展插件
https://www.tenable.com/downloads/nessus
https://github.com/se55i0n/Awvs_Nessus_Scanner_API 扫描器Awvs 11和Nessus 7 Api利用脚本
;配合nessus扫描结果进行msf攻击
;联动nmap、nessus等工具进行安全测试
awvs相关工具拓展插件;awvs10.5开发框架破解版
;awvs10.5规则scripts解密版,SDK,开发手册
;awvs11汉化包
burpsuit相关工具拓展插件;burpsuite官方插件库
;awesome系列之burp拓展
;集成hackbar
;比Burp自带的Intruder 更快,一分钟打1.61万次请求
;burp插件,破解aes加密的插件
;可以将burpsuite扫描器功能扩展的更加强大,同时支持zapproxy扩展
;burp插件增强主动与被动扫描功能
;Burp拓展, 使用几种技巧绕过WAF
;burp插件,命令注入漏洞检测
;burp插件,自动识别Java/.NET 应用程序中的反序列化漏洞
;burp插件,增强敏感文件扫描
;burp插件,布置dns服务器抓取流量
;burp拓展,扫描J2EE应用
;集成了sqlmap,菜刀,字典生成等
;burp插件,检测ssrf漏洞
sqlmap相关工具拓展插件;burp与sqlmap联动插件
;sqlmap的web gui
;利用各种语言来编写sqlmapTamper
;一款基于sqlmapapi和Charles的被动SQL注入漏洞扫描工具
;基于sqlmapapi的主动和被动资源发现的漏洞扫描工具
;在sqlmap基础上增加了目录扫描、hash爆破等功能
;ysrc出品的被动式漏洞扫描工具,基于sqlmapapi
;基于sqlmapapi,ruby编写的漏洞代理型检测工具
;利用DorkNet,Googler, Ddgr, WhatWaf 和 sqlmap自动注入
nmap相关工具拓展插件;GO,实现的Nmap调用库
;NSE收集列表
;使用nmap扫描常见的服务漏洞
;Nmap Script (NSE)IDE编辑器
;NSE自动化利用
;shell,将Nmap复杂的命令进行一定程度的集成与简化,使新用户更加容易上手。
;Django,Web版Nmap,可以建立新的扫描服务器,允许用户从他们的手机/平板电脑/网络浏览器启动Nmap扫描
;linux下将支持使用大量 Nmap 引擎进行网络和系统侦察的工具
;基于nmap的扫描器,与cve漏洞关联
;基于nmap的高级漏洞扫描器,命令行环境使用
;将nmap的xml web展示器
;执行NMap扫描或读取扫描结果, 然后自动使用msf攻击包含常见漏洞的主机
metasploit相关工具拓展插件;结合机器学习与msf的全自动测试工具
;一个可以创建SSL/TLS shell连接的脚本
;等待msf的session,并自动提为域管理
;msf插件,利用jira upm上传进行命令执行
;利用Shodan 搜索引擎收集目标, 并自动调用设定的msf模块对目标发动攻击
;使用msf脚本,根据特定协议进行扫描
;Metasploit模块, 用于在内存中执行ELF文件
;metasploit双星攻击利用文件
;msf扩展资产搜集与帮助插件
;metasploit、payload辅助查询工具
;将msf数据库与maltego进行图形化展示
;metasploit的GUI界面,话说现在msf对windows支持也挺好的
CobaltStrike相关工具拓展插件https://mp.weixin.qq.com/s/CEI1XYkq2PZmYsP0DRU7jg 使用Aggressor脚本雕饰Cobalt Strike
;CobaltStrike社区版,调用msf,一对多带界面
;CobaltStrike2.5汉化版,以msf库为基础,3.0以后改版
;用于cs2.x与armitage的可拓展插件,cvs3.x的为AggressorScripts
;cs3.0以后的脚本搜集
;cs3.x自动化攻击脚本集合
;cs3.0传输信息的汉化插件
;生成cobaltstrike所需的xor64.bin
;一个用于将通信渠道与Cobalt Strike External C2服务器集成的库
;用于将Cobalt Strike配置文件转换为mod_rewrite脚本的工具
;搜索分类域,为Cobalt Strike beacon C&C设置白名单域
;利用jquery文件进行C2通讯,在文件内做了JS混淆绕过防火墙
;py3,Python API for Cobalt Strike
;CobaltStrike相关插件编写,一对多带界面
Empire相关工具拓展插件;利用Empire获取域控权限
;empire的node.js界面
;empire的web界面
;py3,调用Empire RESTful API 自动化获取域管权限的
;用于将Empire配置文件转换为Apache modrewrite脚本
;Chrome扩展程序和Express服务器利用CSS的键盘记录功能。
;Chrome扩展程序。JavaScript document.cookie / Wireshark Cookie
;Chrome扩展,cookie注入工具包括注入,编辑,添加和删除cookie
信息搜集
;利用OSINT自动化找出对方信息,gui界面,插件化
;go,利用OSINT自动化搜集信息
;企业被搜索引擎收录敏感资产信息监控脚本:员工邮箱、子域名、Hosts
;通过爆破进行子域名获取,可用于查找子域名接管漏洞
;通过搜索引擎与爆破快速子域枚举工具
;基于go实现的Sublist3r
;py3、py2的子域名,IP,CDN信息等
;基于go,子域名枚举, 搜索互联网数据源, 使用机器学习猜测子域名
;侦查reconnaissance过程自动化脚本, 可自动使用Sublist3r/certspotter获取子域名, 调用nmap/dirsearch等
;simple,侦查信息的瑞士军刀
;py3,爆破搜集子域名
;多用途集成化信息搜集工具
;py2,目标tcp端口快速扫描、banner识别、cdn检测
;lijiejie开发的一款使用广泛的子域名爆破枚举工具
;猪猪侠开发的一款域名收集全面、精准的子域名枚举工具
;利用搜索引擎来搜集子域名,可以使用西班牙语搜集
;py2,调用WHOXY.com,对邮箱和域名进行进一步的搜集
;py3.6,子域名爆破与信息搜集
;web界面,子域名枚举爆破工具以及地图位置标记
;获取高精度地理信息和设备信息的工具
;web界面,的在线子域名信息收集工具
;扫描器中常用的子域名爆破API库
;基于谷歌SSL透明证书的子域名查询脚本
;利用CloudFlare的dns进行子域名枚举
;渗透辅助,py,ip信息、端口服务指纹、蜜罐探测、bypass cloudflare
;cloudflare绕过,获取真实ip,集成censys
;多方式收集目标子域名信息
;子域名查询
;子域名枚举、探测工具。可用于子域名接管漏洞探测
;基于go,高效的子域名爆破工具
;基于go,一款子域名爆破工具
;基于go,根据dns查询子域名和web目录爆破的工具
;可用于子域名收集的一款工具
;多方式域名收集及枚举工具
;子域名枚举,端口扫描,服务存活确认
;通过爬虫实现的子域名收集工具
;渗透辅助,php,exp搜寻、payload与shell生产、信息搜集
;py3,simple,信息搜集与后期漏洞利用
;C段/旁站查询与路径扫描
;基于Bing搜索引擎的C段/旁站查询,多线程,支持API
;网段Web主机发现小工具
;网站信息泄漏批量扫描脚本
;网站敏感文件扫描工具
;网站敏感文件扫描 / 二次判断降低误报率 / 扫描内容规则化 / 多目录扫描
;网站敏感文件探测工具
;多线程网站泄露信息检测工具
;simple,用于搜索网络设备Web应用程序等的默认凭证。包含523个厂家的2084组默认密码
;simple,利用ASN搜索特定组织拥有ip,可联动nmap、masscan进行进一步信息扫描
敏感信息泄露发现
;PY,防止代码中的密码等相关敏感信息被提交到代码库中,可以在保证安全性的同时不会给开发者的生产力带来任何影响
;处理和可视化大规模文本文件, 查找敏感信息, 例如证书
;多线程用户凭证验证脚本,比如验证dump的hash是否属于此机器,利用445端口进行协议验证
;查找并分析私钥/公钥文件(文件系统中), 支持 Android APK 文件
;go,cli端,文件系统分析工具,快速查找文件内包含的SSH密钥,日志文件,Sqlite数据库,密码文件等
;获取目标网站截图、vnc、rdp服务,尝试获取默认凭证
;根据邮箱自动搜索泄漏的密码信息,也可测试账户密码在各大网站能否登录的工具
威胁情报分析
,,,,?query= 密码泄露
;威胁情报分析平台
;微步在线 | 威胁情报分析平台-ThreatBook-多引擎在线扫描、恶意软件在线检测
;针对 Pastebin 的开源情报收集工具
;恶意IP地址
;恶意软件IP地址
?ip=1.1.1.1 洋葱路由出口节点
;shodan撒旦扫描器节点
;用于开源和威胁智能的CLI工具
;验证对方邮箱是否为垃圾邮箱,每个月可以免费验证1000次
;验证账号是否为常用账号
;远程身份验证地理位置分析工具,用于区分合法登录和恶意登录。
;py3,通过实时扫描文件进行威胁情报分析和实时监测。
托管云安全
;AWS 安全检测相关的项目列表
;AWS安全工具集
;扫描amazon公开的S3 buckets和dump
;检测亚马逊AWS S3 bucket permissions
;枚举AWS S3 buckets以查找敏感机密的文件
;扫描amazon公开的S3 buckets和dump
;检测亚马逊AWS S3 bucket permissions
;枚举AWS S3 buckets以查找敏感机密的文件
;AWS 最低权限策略部署工具
;AWS漏洞检测框架
;GitHub 泄露监控系统
;github信息泄露检测
;GitHub监控,代码信息泄露,分钟级监控,邮件预警
;github Repo信息搜集工具
;GitHub敏感信息扫描工具
;py3,近实时监控Github敏感信息,并发送告警通知。
;github敏感内容挖掘
;GitHub敏感信息扫描工具,包括检测commit等
;github信息监测脚本
;防止将敏感数据提交到 git 仓库的工具
;基于go的,检查git repo中的密码信息和密钥
目录路径发现
;经典目录路径扫描
;C#界面,web爬虫与目录路径爆破工具,除了常规扫描增加了递归爆破模式
;目录路径爆破工具
;目录路径路径扫描器
;目录路径路径扫描器
;多线程的后台路径扫描器,也可用于发现Execution After Redirect漏洞
;通过字典穷举、google、robots.txt等途径的跨平台后台管理路径扫描器
;基于协程的目录路径爆破工具,配合aiohttp扫描路径比之前快了三倍有余
;基于爬虫的web路径扫描器
本地文件包含漏洞
;本地文件包含漏洞利用工具
;本地文件包含漏洞扫描和利用工具
;本地文件包含漏洞扫描和利用工具
;本地文件包含漏洞利用及扫描工具,支持反弹shell
;本地文件包含漏洞利用及扫描工具,支持反弹shell
安全测试与扫描器框架
;The OWASP ZAP core project出品的综合性渗透测试工具。由于其流量代理、请求重放和可扩展性拿来做模糊测试未尝不可
;burpsuite 1.7.27的永久破解版
;知名插件化扫描器
;渗透测试集成框架,包含超过38,000+ exploits
;Web应用漏洞扫描框架,python3,300poc
;渗透测试插件化扫描框架,自带poc,并发扫描
;知道创宇维护的一个规范化POC/EXP利用框架
;Pocsuite用py3重写
;漏洞利用框架,支持永恒之蓝直接利用
;斗象能力中心出品并长期维护的一个规范化POC/EXP利用框架
;大黑阔的插件化漏洞利用工具
;python下内置1200+插件可对网站进行一次规模的检测
;乌云维护的一个规范化POC/EXP利用框架
;Beebeeto是由众多安全研究人员所共同维护的一个规范化POC/EXP利用框架
;一款开源 Poc 调用框架,可轻松调用Pocsuite,Tangscan,Beebeeto,Knowsec老版本POC,可使用docker部署
;借鉴pocscan 的一款多利用框架poc适配框架
;覆盖从侦察到漏洞分析的所有内容
;使用深度学习的渗透测试工具, 从每次扫描数据中学习, 扫描越多, 软件检测精准度越高
;易语言的北极熊扫描器
;椰树1.9扫描器
;轻量级基于C#的扫描器,椰树扫描器的前身
;web界面,漏洞扫描
;web界面,自动漏洞扫描器,子域名爆破,端口扫描,目录爆破,常用框架漏洞检测
;web界面,基于bugscan扫描和架构思想的扫描器
;web界面,base bugscan,django
;web界面,基于F#与C#的安全扫描器
;web界面,python漏洞扫描器
;web界面,python漏洞扫描器
;web界面,php,漏洞扫描器,支持输出pdf报告
;web界面,基于 Flask 应用框架的漏洞扫描系统,同时集成了渗透测试常用的端口扫描、子域名爆破等功能,后端漏洞扫描采用Pocsuite
;py,linux,网站扫描器
;py,linux,网站扫描器
;perl,linux,kali内置的网站扫描器
;web扫描器,联动Geckodriver,nmap和sqlmap
;集合owasp top10漏洞扫描和边界资产发现能力的分布式web漏洞扫描框架
;BkScanner 分布式、插件化web漏洞扫描器
;一款基于Raspberry Pi Cluster 的网络漏洞扫描工具
;基于http代理的web漏洞扫描器
;php,自动化中间件扫描以及设备指纹识别
;php,集成信息收集、漏洞扫描、指纹识别等的扫描工具
;web应用扫描器,支持指纹识别、文件目录爆破、SQL/XSS/RFI等漏洞扫描,也可直接用于struts、ShellShock等漏洞扫描
;支持检测SQLi/XSS/LFI/RFI等漏洞的扫描器
;集成子域名枚举、nmap、waf指纹识别等模块的web应用扫描器
;定向自动测试工具
;py,插件化漏洞扫描器,支持生成报表
;Web应用漏洞扫描框架,支持REST、RPC等api调用
;基于chrome/opera插件的被动式漏洞扫描
;ruby,扫描主机第三方web应用服务漏洞
;Web应用漏洞扫描
;自动化渗透测试框架
;全面的web扫描器与漏洞利用工具
;易语言,模仿msf的漏洞利用框架,自带exp编辑器
;py,模仿msf的漏洞利用框架,还有些ssh、压缩包破解工具
;py2,网站扫描器
;py2,simple,网站扫描器
;py3,simple,被动式漏洞扫描,支持历史cve编号漏洞识别
;py,simple,扫描页面/链接/脚本/Form, 测试Payload等
;py,已用1,七种综合检测
;py,simple,web漏洞利用
;py,simple,模仿msf
;simple,web界面,在线cms指纹识别|旁站|c段|信息泄露|工控|系统|物联网安全|cms漏洞扫描|端口扫描|等
;simple,支持多种web漏洞扫描
;simple,信息搜集、cms利用与漏扫,侦察绕过Cloudflare
;基于Salt Open以及Vulners Linux Audit API的linux漏洞扫描器,支持与JIRA、slack平台结合使用
;go,POC检测框架,以动态链接库的形式提供各种语言调用
运维安全服务与资产管理
;CloudWalker(牧云)服务器安全管理平台,逐步覆盖服务器资产管理、威胁扫描、Webshell 查杀、基线检测等功能。
;mitre公司模拟攻击测试系统,主要是在win下
;评估网络安全状况,分为扫描器与C2C服务器,利用默认口令与exp对ssh、smb等多种协议方式进行攻击检测
;调用awvs对大量WEB资产进行分布式WEB安全扫描,发现web环境下常规的一些安全漏洞
;资产管理,漏洞检测集成awvs、创宇Pocsuite、nmap、hydra
;协作渗透测试和漏洞管理平台,集成多种
;基于django的漏洞资产管理平台
;web界面,宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台
;漏洞管理、资产管理、任务扫描系统
;网络资产指纹发现,搭建属于自己的shodan与zoomeye
;web界面,同程安全开发的网络资产识别引擎,漏洞检测引擎
;web界面,base巡风开发,一个人的安全
;py3,django。企业内网安全管理平台,包含资产管理,漏洞管理,账号管理,知识库管、安全扫描自动化功能模块
;对公网IP列表进行端口服务扫描,发现周期内的端口服务变化情况和弱口令安全风险。一个人的安全部
;主要目标是以甲方安全人员的视角,尽可能收集发现企业的域名和服务器公网IP资产。如百度云、阿里云、腾讯云等。一个人的安全部
;web界面,py3 celery。资产收集
;py2.6,网络资产、端口服务搜集整理,生成报表显示。快速
;扫描公司内部所有在线设备, 提供整体安全视图, 标示所有安全异常
;企业内网基础服务安全扫描框架
上传漏洞利用
;扫描网页, 使用正则表达式爆破查找隐藏的GET/POST参数
;用于自动测试上传功能是否可上传webshell的工具
;py3,CVE-2018-9206 jQuery File Upload利用工具
;burp插件,测试zip文件上传漏洞
;py,测试zip文件上传漏洞
端口发现服务指纹识别
;LUA,Nmap端口扫描器,具有有强大的脚本引擎框架
;C,无状态扫描,可以调用nmap进行指纹识别
;C,无状态扫描,需要用C编写扩展模块
;go,基于zmap扫描器进行指纹识别、调度管理,可绕过CDN
;类似 zgrab 的快速 TCP 指纹抓取解析工具,支持更多协议
;shell,联动masscan和nmap
;基于Masscan和Zmap的网络扫描器
;调用nmap目标端口扫描+系统服务指纹识别
;Angry IP Scanner,跨平台界面化端口扫描器
;WAF产品指纹识别
;ssl类型识别
;web指纹识别
;whatweb工具结果搜索平台
;web应用指纹识别
;网络爬虫式指纹识别
;中间件扫描服务识别
;thorn上实现的分布式任务分发的ip端口漏洞扫描器
;端口服务扫描
;用于检查web服务的http header的安全性
;服务器ssh配置信息扫描
;针对域名及其子域名的资产数据检测/扫描,包括http/https检测等
;域名资产收集及指纹识别工具
;网络设备 web 服务指纹扫描与检索
;目标主机服务ssl类型识别
;渗透测试辅助工具,支持分析数据包、解码、端口扫描、IP地址分析等
;web应用信息搜集工具
;围绕web服务的域名进行信息收集和"域传送"等漏洞扫描,也支持针对背后的服务器端口扫描等
;基于Nikto扫描规则的被动式路径扫描以及信息爬虫
;快速识别WEB服务器类型、CMS类型、WAF类型、WHOIS信息、以及语言框架
;CMS指纹识别
;CMS检测和漏洞利用脚本, 基于Whatcms.org API
;CMS识别 python gevent实现
;基本算是word press下最好用的工具了
;基于WPScan以及WPSeku的优化版wordpress扫描器
;精简的wordpress扫描工具
;wordpress漏洞利用框架
;php,wordpress扫描器
;wordpress漏洞扫描器
;Drupal 信息收集与漏洞利用工具
;CMS渗透测试框架
;CMS攻击框架
;20多种CMS的基本检测,针对wp利用、可定制模块化爆破功能
;支持WordPress,Joomla和Drupal扫描
;Web CMS Exploit 工具,包含针对主流 CMS 的 66 个不同的 Exploits
;首款集成化的Discuz扫描工具
数据库扫描与爆破
;Java 编写的SQL注入工具
;安恒航牛的一款界面化注入工具
;sql注入sqlmap
;已用1,99行代码实现的sql注入漏洞扫描器
;已用1,基于搜索引擎的批量SQL注入漏洞扫描器
;一款专门用于Oracle渗透的很全面的工具
;MySQL和MSSQL利用工具后期爆破、搜索数据库并提取敏感信息。
;针对各种情况自由变化的MySQL注入脚本
;一款针对mongoDB的攻击工具
;SQL盲注利用框架
;基于Powershell的sqlserver测试框架
;利用PowerUpSQL,渗透测试技巧:绕过SQL Server登录触发器限制
;一款数据库扫描器
;MongoDB审计及渗透工具
;NoSQL扫描/爆破工具
;MySQL盲注爆破工具
;用于http header中的时间盲注爆破工具,仅针对MySQL/MariaDB
;自动扫描内网中常见sql、no-sql数据库脚本,包含未授权访问及常规弱口令检测
;对没有正确配置的firebase数据库进行利用
XSS跨站脚本检测利用
;XSS Awesome系列
;很全面的xss工具包与资料
;XSS 漏洞Payload列表
;经典的xss利用框架
;类似beef的xss利用框架
;蓝莲花战队为CTF打造的xss利用框架
;根据特定标签生成xss payload
;余弦写的xss利用辅助工具
;可识别并绕过WAF的XSS扫描工具
;go,利用xss漏洞返回一个js交互shell
;利用xss漏洞返回一个js交互shell
;一款XSS扫描器,可暴力注入参数
;小型XSS扫描器,也可检测CRLF、XSS、点击劫持的
;PHP版本的反射型xss扫描
;批量扫描XSS的python脚本
;自动化检测页面是否存在XSS和CSRF漏洞的浏览器插件
;使用命令行进行XSS批量检测
;支持GET、POST方式的高效XSS扫描器
;kali下无法使用的话,请下载正确的PhantomJS到目录thirdparty/phantomjs/Linux
;flash xss扫描
;针对检测网站中的反射XSS
;自动化利用XSS入侵内网
弱口令扫描爆破
;支持多种协议方式的破解与爆破,v8以后就不提供windows版本了
;c,支持多种协议的破解与爆破
;ysrc对各类服务用户名密码爆破的脚本
;针对fb、gmail、ins、twitter的用户名密码爆破的脚本
;支持多种协议的爆破,采用模块化设计,使用灵活
;利用smb服务进行用户名密码爆破
;Go写的协程版的ssh\redis\mongodb弱口令破解
;支持测试 CSRF, Clickjacking, Cloudflare and WAF的弱口令探测器
;WordPress、Joomla、DruPal、OpenCart、Magento等CMS用户密码爆破
;Linux下利用nmap多线程探测ssh弱口令
;弱口令扫描器,不仅支持普通登录页,也支持ssh、mongodb等组件
;simple,http暴力破解、撞库攻击脚本
;联动nmap、hydra对ssh批量爆破
密码破解还原
;各种密码方向安全小工具
;IBM x3550/x3560 M3 bios密码清除重置工具
;py,实现的 ios 访问限制密码破解工具
;C,哈希破解
;GO,基于hashcat 3.6.0+的分布式密码破解工具
;基于php的hashcat的分布式破解工具,支持C#与python客户端
;首款开源的BitLocker密码破解工具
;破解SSD下使用BitLocker的论文
;已知密文的情况下尝试破解出明文的破解密码软件
;JohnTheRipper密码破解的GUI界面,理论兼容所有功能,有windows界面
;支持的协议会比hydra少一点,但是某些速度会快
;wordpress hash破解
;C#,基于网上web API的MD5搜索工具
;能调用多个API进行hash破解查询的智能工具
;ARCHPR Pro4.54绿色中文破解版。压缩包密码破解,利用“已知明文攻击”破解加密的压缩文件
网站管理与webshell
;宝塔网站管理系统
;js,中国蚁剑,插件式开发
;java,中国菜刀
;java,中国菜刀升级版,增加爆破功能
;中国大砍刀
;py,一句话木马客户端程序,目前支持php、jsp,CS端通信加密
;py,利用特定的一句话脚本对网站进行管理
;py3,利用特定的一句话脚本对网站进行管理
;py,利用特定的一句话脚本对网站进行管理
;perl,利用特定的一句话脚本对网站进行管理
;.net配合mono,实现的跨平台菜刀
;集成伪造邮件ddos,bat.php的webshell,初始k4mpr3t
;过防火墙webshell,post pass=DAws
;php网站管理,默认密码b374k
;webshell的文件管理,可以伪装为404界面
;php小马,附带py编写的生成器
;一款可以写入java web server内存中的webshell
;PHP使用流包装器实现WebShell。freebuf上有详细文章
;利用动态二进制加密实现新型一句话木马之客户端篇
;“冰蝎”动态二进制加密网站管理客户端
#toc-8 利用动态二进制加密实现新型一句话木马之Java篇
#toc-4 利用动态二进制加密实现新型一句话木马之.NET篇
#toc-4 利用动态二进制加密实现新型一句话木马之PHP篇
内网拓展后渗透
;后渗透框架
;基于poweshell的命令执行框架
;纯Bash脚本编写的后渗透框架,大鲨鱼
;py3,拥有下载、上传功能,生成可执行py脚本的后门的后渗透框架
;py2,后渗透框架
;网络测试中的瑞士军刀,包含impacket、PowerSploit等多种模块
;对CrackMapExec进行二次包装开发进行内网敏感信息扫描
;python-pentesting-tool python安全工具相关功能模块
;Python/PowerShell的测试脚本集
;powershell测试脚本集与开发框架汇总
;powershell脚本集与利用框架
;PowerShell脚本集,停止更新
;PowerShell脚本集
;PowerShell脚本集
;窃取哈希,密码解密,偷偷调用猕猴桃等程序,rdp多方法利用,远程启动shell,清楚痕迹
;用于分析域成员和用用户关系的程序,通过用powershell脚本导出域内的session、computer、group、user等信息,入库后进行可视化分析可以做到定点攻击。
;利用DotNetToJScript进行截图、key记录、token窃取、dll与恶意代码注入
;利用浏览器漏洞当对方打开网址时,扫描对方内网信息
;调用 Windows API 对内网信息进行搜集很全面
;内网渗透脚本,包括banner扫描、端口扫描;phpmyadmin、jenkins等通用漏洞利用等
;基于网络流量的内网探测框架
;详细的内部网络信息扫描器
;联动nmap,并对组织内网进行扫描
;用于Linux的内部渗透测试工具,可用于通过SMB枚举操作系统信息,域信息,共享,目录和用户。
;bash,Linux下后渗透命令集合
远程控制C2服务器
;僵尸网络生成框架
;构建攻击僵尸网络
;勒索软件poc
;蠕虫病毒poc
;基于smali,Windows下安卓远控,一对多带界面
;java1.8,远控、钓鱼、内网
;py2,CLI与web端,内存马,RC4加密HTTP传输
;go,win远控,可过大部分杀软
;go,c2通讯,一对多
;go,利用chrome以浏览器的形式连接C2服务器
;c++,可以监视目标机器屏幕、注册表、文件系统等
;c#,一对多,界面
;c#,一对多,界面
;PowerShell、C#,远控工具,有win提权组件
;vb,常见蠕虫远控,有很多变种,一对多带界面
;py3,利用JScript/VBScript 进行控制,大宝剑
;py2,利用js后门,配合chm、hta可实现很多后门方式。evi1cg.me/archives/chm_backdoor.html
;py3,macOS与linux下的利用js后门,web界面管理
;py2,NSA漏洞利用工具,配有自动化安装脚本与gui界面,远控rat
;py,Windows, Linux, OSX, Android跨平台,一对多
;py,Windows、Mac OSX、Linux跨平台
;py,macos/osx远控,可生成HID代码,一对多
;py,macos/osx远控,一对多
;py3,simple远控,一对多
;py,截图通过gmail传输
;py,使用 gmail 作为 C&C 服务器
;py,c2通讯,支持代理
;py,利用telegram,windows下的远程控制工具
;py,通过dns传输
;服务端为ruby(linux),客户端为C(win/linux),利用DNS协议进行端对端传输
;py,利用ngrok的后门
;py,搭建一个合法的网站(可浏览),用于隐藏命令执行的客户端/服务器通信
端口转发与代理工具
;用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议
;端口转发,正反向代理,内网穿透
;在线小米球ngrok
;Socket 端口转发,用于远程维护
;基于ssh的端口转发
;一款用于开启 SOCKS v5 代理服务的工具,基于标准 C 开发,可提供多平台间的转接通讯,用于复杂网络环境下的数据转发。
;EarthWorm升级版,可以实现多节点跳跃
;可以通过HTTP封装隧道通信任何TCP,以及用于绕过防火墙环境中的网络限制
;将tcp流量通过DNS协议转发,不需要客户端和socket5支持
;reDuh 的升级版,主要是把内网服务器的端口通过http/https隧道转发到本机,形成一个回路。用于目标服务器在内网或做了端口策略的情况下连接目标服务器内部开放端口(提供了php,asp,jsp脚本的正反向代理)
;py3,Scrapy and Redis,高可用ip代理池
;py3异步爬虫ip代理池
;使用一个openvpn代理池,为每一个生成docker,当连接某一个vpn后,其它的进行socks5转发做流量分发
;PowerShell编写的端口转发工具, 无需admin权限
;go,通过主控端、中转、被控端实现内网穿透
Cross超越边界NPV
;cross汇总
;梯子搭建
;各种常用一键脚本
;openvpn一键
;CentOS/Debian/Ubuntu一键安装IPSEC/IKEV2 VPN脚本
;shadowsocks,shadowsocksr
;ss/socks5/http//https等多种代理
;shadowsocks多用户管理
;shadowsocksrr配置管理简化工具
;ss\ssr\v2ray用户分布式管理
;ss用户分布式管理
;ss用户分布式管理,兑换码功能、商城系统,服务器信息
;brook程序服务端Web后台管理服务器(Linux|MacOS),基于python、flask、flask-restful
;Brook一键安装脚本
;go,支持Linux/MacOS/Windows/Android/iOS的代理与vpn
;轻量级网络混淆代理,基于 SOCKS5 协议,类SS
;校园网防断网; UDP 53 免流上网
;通过虚拟网卡转为类VPN全局代理SSTAP,还有sockscap64,比proxifier使用简单
;unlimited-landeng-for-win,无限流量蓝灯
;开源赛风超越边界代理
;可试用
;可试用
;日本国立筑波大学超越边界代理
;注册可免费用一天
横向移动与密码hash窃取
;Cain & Abel支持密码还原、arp中间人攻击
;Windows下以抓取密码为主的横向移动神器
;使用纯py3实现的mimikatz
;无需LSASS进程使用Mimikatz从LSASS进程内存中提取内容, 从内存中提取明文密码, NTLM哈希, Kerberos ticket, 以及执行pass-the-hash/pass-the-ticket攻击等
;py3,密码抓取工具
;LaZagne密码破解升级版,利用DPAPI,目前缺陷是需要windows user密码
;Windows 下密码抓取工具
;linux密码抓取神器
;quarkslab出品的密码抓取工具,不用注入任何进程
;从ssh服务中窃取用户名密码
;利用IE进行后渗透,抓取密码、重定向等
;操作Kerberos的库, 实现了Kekeo的大部分功能, C#编写
;PY,通过ldap(轻量目录访问协议)认证,列举win域信息,爆破登录
Linux提权相关
;py,通过检查常见的错误配置来查找提权方法. 支持Windows/Linux/Mac
;利用python包进行高权限用户创建
;查找linux有哪些补丁没有打的脚本
;查找linux有哪些有漏洞的软件
;脏牛提权漏洞exp
;脏牛提权漏洞exp
;利用su小偷实现低权限用户窃取root用户口令
;Linux 内核VMA-UAF 提权漏洞 CVE-2018-17182
;CVE-2018-14665,linux下Xorg X服务器提权利用
;Linux系统利用Syscall实现提权
;Linux系统利用Syscall实现提权
;linux-kernel-exploits Linux平台提权漏洞集合
;linux自动提权脚本
;Linux提权工具
;linux提权命令集合
Windows提权相关
;windows平台教程级提权参考文章
;Windows平台提权漏洞Exp集合
;windows下各种提权与利用工具
;win提权漏洞验证
;微软CVE-2012-0217、CVE-2016-3309、CVE-2016-3371、CVE-2016-7255、CVE-2017-0213提权利用
;RottenPotatoNG变种,利用NBNS本地域名欺骗和WPAD代理欺骗提权
;RottenPotatoNG变种,利用com对象、用户token进行提权
;RottenPotatoNG变种,利用本地域名欺骗和代理欺骗提权
;处于内网环境但又在AD环境之外,icebreaker将会帮助你获取明文Active Directory凭据(活动目录存储在域控服务器可用于提权)
;Active Directory权限提升脚本
;利用aspx一句话配合提权payload提权
;msf插件,win10 uac bypass
;利用Win32k.sys内核漏洞进行提取,ms14-058
;利用NBNS本地域名欺骗和WPAD代理欺骗提权
;影响Win32k组件,针对win7和win2008提权
;在win7与win2k8的基础上增加了winXP与win2k3
;使用Windows令牌提升权限的工具,提供一个交互命令行界面
权限绕过
;DLL Hijacking & COM Hijacking ByPass UAC - 议题解读
;能够利用JS/Vbs脚本加载.Net程序的工具
;绕过系统应用白名单执行DotNet and PowerShell tools
;py2,win下权限提升,uac绕过,dll注入等
;包含许多用于多个版本操作系统上绕过Windows用户帐户控制的方法
;实现了不使用powershell.exe的情况下执行powershell命令
;实现了不调用powershell.exe的情况下执行powershell命令
;使用rundll32运行PowerShell,绕过软件限制
;内核层的瑞士军刀. 在Windows10内核中读/写/执行代码
;从一个非托管程序来执行PowerShell,经过一些修改后可以被用来注入到其他进程
;一种库注入技术,让DLL自身不使用LoadLibraryA函数,将自身映射到目标进程内存中
;利用环境变量与destop.ini绕过windows下的Palo Alto Traps endpoint 防护软件
;通过内存读取,网络传输内容,利用PE执行shellcode
沙盒逃逸
;利用wpad进行浏览器 sandbox沙箱逃逸
;vmware虚拟机逃逸。CVE-2017-4901,CVE-2018-6981,CVE-2018-6982
;VirtualBox E1000 Guest-to-Host Escape逃逸。教程
?id=1682&desc=2 Ghostscript:基于漏洞CVE-2018-17961的-dSAFER沙盒逃逸技术
后门免杀代码混淆
;杀毒软件绕过
;py,一键生成多种后门
;windows下rootkit,反弹meterpreter
;linux下快速生成metepreter等多种payload
;msf免杀,程序注入
;py2,msf免杀
;msf免杀
;py、bash,msf免杀
;java,msf免杀,利用searchsploit快速搜索
;msf免杀
;msf免杀
;msf免杀
;msf免杀
;msf免杀
;py,payload生成,过杀软,识别虚拟机,钓鱼,内存注入等
;Meterpreter,Empire,Koadic等loader/dropper的生成器,可以绕过客户端检测和网络端检测的端点策略
;使用C#+Empire实现最小体积免杀后门
;将自身安装为Windows服务且管理员无法停止/暂停服务的程序. C#编写
;基于DotNetToJScript,利用JavaScript和VBScript执行Empire Launcher
;基于DotNetToJScript使用js、vbs,用于检索和执行任意CSharp源码的payload创建框架
;基于DotNetToJScript使用js、vbs生成恶意payload
;对powershell文件进行混淆
;对powershell文件进行混淆,加密操作以及重新编码
;对powershell文件进行混淆,加密操作以及重新编码
;Cobalt Strike SCT有效载荷混淆器
;bash,生成加密 Payload 在 macOS 上反弹 Shell
;宏混淆,其中还包括AV/Sandboxes逃避机制
;py3、py2多种类型的后门、shell生成工具,可以自动维持权限
;win下权限维持脚本
;py,simple,linux下rootkit
;simple,rootkit,使普通用户获取root shell
;从一个文件中提取元数据,包括数字签名,并注入到另一个文件中
;可以修改二进制文件的HASH,同时保留微软windows的签名
;py,用于劫持合法的数字签名并绕过Windows的哈希验证机制的脚本工具
;快捷方式(.lnk)文件Payload生成器.AutoIt编写
;反弹一个tcp连接,将进程id绑定到一个空文件夹
;可以生成win32PE后门测试程序,ELF文件后门程序等
文件捆绑
bat2exe.net 相类似也可以利用iexpress与winrar生成自解压exe可执行文件
;将bat文件转换为exe二进制文件
;将bat文件转换为exe二进制文件
;将bat文件转换为exe二进制文件
;将bat文件转换为exe二进制文件,可以隐藏窗口。
;将两个可执行文件打包为自解压文件,自解压文件在执行时会执行可执行文件
;将payload更换图标
;将payload更换图标。需要wine与resourcehacker环境
;更换图标和名称
;将PS脚本隐藏进PNG像素中并用一行指令去执行它
;Don’t kill my cat生成混淆的shellcode,将shellcode存储在多语言图像中
;生成一个pdf文件,内含payload来窃取win上的Net-NTLM哈希
;向PDF文件中插入恶意代码,来窃取win上的Net-NTLM哈希
社工相关
;py,深度学习,密码字典样本生成
;根据用户习惯密码生成弱口令探测
;根据用户习惯密码生成弱口令探测,楼上升级
;py3,特定密码字典生成
;python下的键盘记录工具
;检查过期域名,bluecoat分类和Archive.org历史记录,以确定最为适合于钓鱼和C2的域名
;收集目标类似的尚未注册的域名
;Bing、google、360、zoomeye等搜索引擎聚合搜索,可用于发现企业被搜索引擎收录的敏感资产信息
;Sreg可对使用者通过输入email、phone、username的返回用户注册的所有互联网护照信息。
;社交媒体枚举和关联工具, 通过人脸识别关联人物侧写
;公司雇员信息收集测试工具
;py,利用OSINT对人员进行追踪定位
;输入人名或邮箱地址, 自动从互联网爬取关于此人的信息
;py2,facebook脸书信息搜集工具
;通过Linkedin 领英获取相关公司员工列表
;linux下领英Linkedin information gathering tool
;通过脉脉用户猜测企业邮箱
;使用twitter API进行信息爬取查询
;py,获取Twitter用户发推的地址
;web界面,对某人的twitter进行全面的情报分析
;虚假音视频制作
;聊聊那些常见的探侦类APP
;重要文件的追踪溯源,信标定位(#)
;c++,linux,利用麦克风监控键盘输入测试输入值
网站克隆镜像伪造
;网站克隆镜像
钓鱼框架邮件伪造;负责收集用于证书盗窃和鱼叉式网络钓鱼攻击的社交工程技巧和payloads
;专为社交工程设计的开源渗透测试框架
;拥有facebook、instagram等三十余个钓鱼模板的一键启用工具
;以blackeye为基础加强子域的管理
;py3,界面化社会工程学攻击辅助工具
;go,克隆网站钓鱼
;go,拥有在线模板设计、发送诱骗广告等功能的钓鱼系统
;py2,deefcon上的钓鱼系统
;甲方内部钓鱼系统
;钓鱼的http服务器
;可以管理所有钓鱼攻击的完整钓鱼框架,允许你跟踪单独的网络钓鱼活动,定时发送电子邮件等
;可视化钓鱼活动工具包
;实时双因素网络钓鱼工具
;绕过双因素验证的钓鱼框架
;MiTM 框架, 登录页面钓鱼, 绕过双因素认证等
;使用Flask和Jinja2模板编写的网络钓鱼框架,支持捕获2FA令牌
;OAuth滥用测试检测平台
;自动化建立一个网络钓鱼服务器
;py2,钓鱼与邮件伪造
;世界上最流行的PHP发送邮件的代码
;在线邮件伪造
;在线邮件伪造
中间人攻击流量劫持
;网络攻击以及监控的瑞士军刀。该工具支持多种模块,比如ARP/DNS欺骗、TCP以及数据包代理等
;PY,支持SSL拦截,进行https流量代理
;py3,异步http/https代理,楼上简化版。可以作为中间人工具,比如说替换网址图片等
;用于嗅探网络内所有的NTLM、NTLMv1/v2、Net-NTLMv1/v2包,对网络内主机进行欺骗获取用户hash。a拿着b密码请求b,c对a说我是b,然后c获得了b的密码,;【脉搏译文系列】渗透师指南之Responder。
;一款PowerShell LLMNR / mDNS / NBNS欺骗器和中间人工具
;中间人攻击测试工具包
;可以自主创建恶意更新,并将其注入到WSUS服务器数据库中,然后随意的分发这些恶意更新
;一个模块化的脚本框架,使攻击者在不知情的情况下将恶意更新注入到用户更新中
;专注于通过文件内容交换、lnk交换来攻击客户端,以及窃取任何以明文形式传输的数据
;对IMAP服务器进行中间人攻击
协议解析流量还原分析
;协议解析流量分析还原
;Impacket是用于处理网络协议的Python工具包集合,内网中可用以提权例如wmiexec.py、NMB,SMB1-3和MS-DCERPC提供对协议实现本身的低级别编程访问。
;内置了交互式网络数据包处理、数据包生成器、网络扫描器网络发现和包嗅探工具,提供多种协议包生成及解析插件,能够灵活的的生成协议数据包,并进行修改、解析。
;协议分析软件QPA的开源代码,特点是进程抓包、特征自动分析
;网络协议fuzz测试
;5个常用的免费报文库
;从Wlan设备上捕获数据包
;支持截获像putty,winscp,mssql,chrome,firefox,outlook,https中的明文密码
;支持几乎所有现有协议的实时网络数据包操作框架
;C,PS,无需驱动抓取Windows流量
无线网络WIFI中间人攻击
;窃取用户wifi密码的进行密码重放攻击
;窃取Wifi密码. VB脚本
;获取你当前连接wifi的密码与ip
;PY,中间人攻击,FakeAp恶意热点,WIFI钓鱼,凭证窃取
;自动部署RogueAP(恶意热点) MITM攻击框架
;Wifi劫持工具,可以监听计算机或其他移动设备的Wifi通信,并能够模仿该设备
;bash与py,对使用wpa协议的无线网络进行MiTM攻击
;ARP欺骗,无线网络劫持
无线网络WIFI防御
;PY,Linux下无线网络入侵检测工具
;嗅探和显示无线网卡附近的Wifi Probe请求
;在树莓派或路由,利用 Wireshark 扫描附近网络 WiFi 设备,当有手机或其它 Wi-Fi 设备在附近时,通过邮件或者提醒
;检查wifi是否为"Wifi-Pineapple大菠萝"所开放的恶意热点
;利用PineAP,对于FAKE AP虚假接入点,如"Wifi-Pineapple大菠萝"进行监测
无线网络WIFI审计测试
;西班牙wifi审计系统,国内汉化版为无线革新5.1.1 Wifislax-WRC
;ewsa,wifi嗅探,握手包密码还原,EWSA-173-HC1UW-L3EGT-FFJ3O-SOQB3
;wifipr,握手包密码还原,另外还有许多商业版windows下密码还原工具
;无线网络审计工具,支持2-5GHZ频段
;由数据包嗅探器、检测器、WPA / WPA2-PSK 解密器、WEP 和用于 802.11 无线局域网的分析工具组成
;wps跑pin码攻击,常见wifi攻击
;wifite无线审计工具升级版,联动aircrack-ng与reaver
;无线安全审计工具
;无线安全渗透测试套件
;自动化无线攻击工具Infernal-Wireless
;Python网络/渗透测试工具
;无线网络攻击工具包
;手机WiFi渗透工具框架,可以使用msf
;手机wifi测试工具
;kali hunter手机渗透测试系统
;手机wifi渗透工具
数据取回隐秘传输
;躲避DLP/MLS数据泄露防护系统,突破数据白名单控制,躲避AV检测进行数据盗取
;使用单个或多个通道同时执行数据取回
;利用DNS解析进行数据隐秘传输的工具
;用于数据取回的Python软件包
反射DNS解析隐蔽通道进行数据泄露
硬件安全
;硬件渗透测试实用手册
;橡皮鸭、HID键盘模拟器
;用于Mousejack的开发代码
;信用卡信息盗取
;在树莓派Raspberry Pi上安装常用的测试组件,打造移动测试平台
;成为物理黑客吧!利用树莓派实现P4wnP1项目进行渗透测试
;在树莓派安装网络劫持键盘注入(WHID)工具
;创建跨平台的HID欺骗payload,并在Windows和OSX上建立反向TCP-shell
;主要功能和用途是绕过有线802.1x保护并使你能够访问目标网络
;可在隔离环境下使用HID生成隐蔽后门,释放有效负载后删除自身
;RFID配合常见的NFC使用
;RFID神器PM3
;RFID Hacking–资源大合集
;独角兽实验室硬件渗透测试平台
IoT安全
;整合工控安全资源
;IoT工控安全与物联网安全学习的一些文章和资源
;工控相关
;工业控制系统(ICS)安全专家必备的测试工具和安全资源
;浅析煤炭企业如何进行工控安全建设
;工控安全现场实施经验谈之工控系统如何加强主机防护
;工控系统安全方向优秀资源收集仓库
;IoT集成安全测试系统,带有一些常用的软件
;一键配置类似kali的工控渗透测试系统的脚本,
;py3,工控安全漏洞测试框架
;py2,工控中类似msf的测试框架
;py2,使用了scapy模块,主要针对modbus协议测试
;nmap配合shodan API扫描IoT设备
;带界面的ics扫描器
;通过TCP/102和TCP/502识别互联网上PLC设备和其他Modbus设备
;NSA旗下ICS/SCADA态势感知
;对 SCADA/ICS设备进行逆向与攻击
摄像头安全
;配合shodan API扫描到的摄像头地理位置显示在地图上
;GO,针对摄像头RTSP协议渗透测试,附弱口令字典
;GO,摄像头远程禁用
;py3,摄像头监测外来人员软件,有防欺骗设置
路由安全
;RouterScan毛子开发的路由器漏洞利用工具,界面化很强大
;py3,仿msf路由器漏洞利用框架
;已停止更新,路由器漏洞扫描利用
;php,路由器设备漏洞扫描利用
;Telnet服务密码撞库
物联网安全
;打印机攻击框架
;物联网设备默认密码扫描检测工具
;专有汽车协议的安全分析工具包
;智能汽车测试
Fuzz模糊测试漏洞挖掘
;一系列用于Fuzzing学习的资源汇总
;Fuzz相关学习资料
;fuzz资料数据库
;AFL for fuzzing Windows binaries,原创技术分析 | AFL漏洞挖掘技术漫谈
;a fuzzer harness for web browsers and browser like applications.
;Continuous Fuzzing for Open Source Software
;以文件格式为主的漏洞挖掘工具
;Test404 -HTTP Fuzzer V3.0
;py,Web安全模糊测试工具,模块化可处理burp所抓请求和响应报文
;基于 Python 实现的 Web 爬虫,用于收集目标网站的情报信息并对 OWASP 漏洞进行模糊测试
;py,一个基于模糊哈希(Fuzzy Hashing)算法的工具。go,glaslos/ssdeep;C,ssdeep-project/ssdeep
;AFL针对Windows二进制进行测试
安全防护
;Advbox是支持多种深度学习平台的AI模型安全工具箱,既支持白盒和黑盒算法生成对抗样本,衡量AI模型鲁棒性,也支持常见的防御算法
;区块链智能合约安全分析工具
;具有高级分析功能的威胁狩猎 ELK
;linux系统审计工具,可以导出系统配置,生成报表
;一款基于django监控 DNS 解析记录和 HTTP 访问记录的工具,可以配合盲注、xss、解析对方真实ip使用
;DNS 重绑定利用框架
;Pcap_DNSProxy 是一个基于 WinPcap/LibPcap 用于过滤 DNS 投毒污染的工具
;使用python实现的集成ClamAV、ESET、Bitdefender的反病毒引擎
;一款木马、僵尸网络分析框架
;基于 Python3 的开源堡垒机
;负载均衡组件GLB,数据解析使用了dpdk
;监控系统资源、软件调试、检测恶意软件,管理进程
;检测邮件防护与过滤系统的测试框架
;利用HTTP 反向代理,内置 SQLChop 作为 SQL 注入攻击检测模块,可以拦截 SQL 注入流量而放行正常流量
;当有人私自触碰电脑鼠标或触摸板,进行报警
代码审计应用测试
;Seay源代码审计系统2.1版本
;检查所有已安装 Python 包, 查找已知的安全漏洞
;实时代码审计,vs插件
;白盒代码安全审计系统
;静态php代码审计
;基于php的php代码审计工具
;跟踪、分析PHP运行情况的工具
;Node.JS应用代码审计
;针对Electron App的漏洞利用工具包
;Electron应用代码审计,App的错误配置和安全问题
;Python应用审计
;Go 语言源码安全分析工具
;基于clang的c/c++/object-c源代码检测框架,有大量接口可以被调用
;给python代码加密,防止逆向
;Ruby on Rails应用静态代码分析
;用于检测Python Web应用程序中的安全漏洞的静态分析工具
;Wordpress插件代码安全审计
;加强任何WordPress安装的安全
大数据平台安全
;针对hadoop/spark/mysql等大数据平台的审计与检测
;hadoop测试方式和工具集
蜜罐安全
;蜜罐开源技术收集
;现代蜜网,集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据
;T-POT,里面使用docker技术实现多个蜜罐组合,配合ELK进行研究与数据捕获
;T-Pot多蜜罐平台使用心法
;将fork的T-POT蜜罐的一键安装脚本替换为国内加速镜像
Web蜜罐内网监测
;py2,使用ELK(ElasticSearch,LogStash,Kibana)进行数据分析,目前支持ssh,telnet,sftp等协议
;py3,web安全蜜罐,可克隆指定Web页面
;py,使用agent探针与蜜罐进行实时交互来引诱攻击者
;PY2,SNMP\RDP\SAMBA蜜罐
;PY,TORNADO,内网低交互蜜罐。支持自动化安装,目前支持常见的16中协议,现为探针/蜜罐-管理的架构,可以考虑二次开发为探针-沙盒-管理的架构
https://github.com/p1r06u3/opencanary_web
https://github.com/Cymmetria 知名欺骗防御蜜罐组织。Struct、weblogic、telnet、Cisco ASA、Micros等仿真蜜罐
;Cymmetria公司开源蜜罐框架,低交互
;可扩展蜜罐框架,支持探针部署与高交互蜜罐
;RDP MITM,打造可记录图像和按键的 RDP 蜜罐()
摄像头蜜罐
;py,摄像头蜜罐。tornado模拟WEB服务,图片代替视频,可以考虑后期多加点图片和按钮
;C,RTSP服务器组件用以构建摄像头蜜罐
工控蜜罐
;模拟油电燃气工控系统
;IoT工业仿真系统模拟框架,采用MODBUS协议对PLC虚拟机监视和控制
;IoT测试系统,方便快速接入各种设备,进行安全测试
;针对ICS/SCADA的低交互工控蜜罐,模拟Modbus和S7comm
逆向相关
;恶意软件逆向指南和工具的集合
;二进制pwn文件自动化逆向,拥有多种插件
;一个具有动态符号执行和静态分析的二进制分析工具
;自定义反汇编框架
;吾爱破解爱盘工具包
;PE 文件分析和反汇编工具
;不用root权限就可以监控进程运行
CTF相关
;CTFwiki,Misc/Crypto/Web/Assembly/Executable/Reverse/Pwn/Android/ICS
;ctf比赛与OSCP考试中常见的知识点和命令
;小型ctf镜像docker
;部署多个pwn题到一个docker容器中
;CTF比赛框架
;CTF工具集成包
;CTF密码编码全家桶,还有小程序版本
;pwn类型,二进制利用框架
;pwn类型,二进制利用框架
;pwn,自动攻击脚本
;隐写术工具集,Steganography - A list of useful tools and resources
;隐写工具包
;WeReport报告助手
;为CTF比赛编写CrackMe软件
计算机与移动设备取证调查
;记一次数据库解密过程。的加密数据库的解密密码是由“设备的IMEI(MEID)+用户的uin,进行MD5,然后取其前7位小写字母”构成的
;音频文件和波形图处理工具
;识别不同文件格式(模板)的16进制编辑器,具有文件修复功能
;将照片图像中的exif信息数据化
;类似exiftool来查看内容区域和元数据信息
~phil/exiftool/ 检查图像文件的exif元数据
;Gimp提供了转换各类图像文件可视化数据的功能,还可以用于确认文件是否是一个图像文件
;windows内存取证分析
;Windows内存取证分析
;Windows取证/信息收集,不限于内存,注册表,文件信息等
;RDP信息复原,png图片格式
;C,针对Hyper-V的内存取证 -;针对 Linux swap 进行取证分析的工具
;linux下的文件恢复
;安卓取证App和框架,可以对安卓设备内各种信息进行提取
;用来捕获和分析内外网流量数据的包,主要用于进行网络调查、安全监控和取证
;可扩展的网络取证分析框架,支持快速开发插件与解析网络数据包捕获
;查看pdf文件并整理提取信息
;在无需提取的情况下列出了zip文件的内容信息
;pcap文件修复
;磁盘分区修复
;py,用于分析MS OLE2文件(结构化存储,复合文件二进制格式)和MS Office文档
;内存取证
;Bochspwn Reloaded(内核信息泄漏检测)工具
;收集用于数据取证的SQL查询模板
;iOS取证技巧:在无损的情况下完整导出SQLite数据库
移动安全
;App安全学习资源
;随心所欲修改安卓手机系统
;基于VirtualApp 和 epic 在非ROOT环境下运行Xposed模块的实现
;移动安全审计框架。android、ios、win
;安卓证书锁定解除的工具
;运行时手机 App 分析工具包, 带Web GUI
;从 Apk 文件中提取 URLs 的工具
;iOS和Android移动应用程序渗透测试框架
;安卓应用安全测试框架
;安卓漏洞扫描工具
;针对 ios/macOS 应用的嗅探/修改/逆向/注入等工具
;IOS12不完全越狱
;iOS应用逆向与分析工具,可以大大加速iOS应用安全分析过程
防火墙规则、waf、CDN相关
;RASP,Runtime Application Self-Protection,实时应用自我保护,更智能,针对每个语言定制
;snort算是最出名的开源ids入侵检测
;长亭偃师(yanshi),雷池(SafeLine)防火墙核心引擎使用到的代码生成工具
;C,跨平台 WAF engine for Apache, IIS and Nginx
;ModSecurity Web控制台
;适用于中小企业的云waf
;基于openrestynginx+lua开发,独创的业务逻辑防护引擎和机器学习引擎,解决传统WAF无法对业务安全进行防护的痛点
;基于lua-nginx-moduleopenresty的web应用防火墙
;基于Golang开发的应用安全网关,具备WAF、CC攻击防御、证书私钥加密、负载均衡、统一Web化管理等功能。
;a set of generic attack detection rules for use with ModSecurity or compatible web application firewalls
;IDS Bypass 脚本
;利用ipV6地址绕过waf
;防火墙绕过脚本
;针对Cloudfail,查找位于CDN后面网站的真实IP
;CDN识别、检测
;尝试找出cdn背后的真实ip,3xp10it.github.io 博客
入侵检测
;一款APT入侵痕迹扫描器
;开源hids堡垒机
;hids基于主机型入侵检测系统,一个人的安全部
;驭龙HIDS是一款由 YSRC 开源的入侵检测系统
;点融开源HIDS,开源部分为主机情报收集工具
;哈勃分析系统,linux系统病毒分析及安全测试
;根据win登陆记录日志来分析并用图形化展示恶意登陆行为
;无线IDS, 基于低成本的Wi-Fi模块(ESP8266)
;基于ubuntu用于入侵检测,网络安全监控和日志管理,采用分布式架构
;将Sysmon的日志结果可视化
;快速自检电脑是否被黑客入侵过(Windows版)
;快速自检电脑是否被黑客入侵过(Linux版)
;服务器入侵溯源小技巧整理
;基于无监督机器学习算法从Web日志中自动提取攻击Payload
恶意文件测与样本分析
;全国莆田系医院名单
;恶意代码使用的命令行收集
;常见软件合集与恶意软件分析
;apt恶意软件样本
;恶意软件样本
;恶意软件样本
;恶意软件样本
;恶意软件样本
;恶意软件样本库。ladder
;恶意软件信息爬取汇总分析
;恶意软件信息爬取汇总分析
;常见恶意配置文件
;扫描网站中的恶意软件, 以及其他一些网站维护功能
;依据文件 Hash 从各种在线恶意软件扫描服务提取信息的工具
;自动化检测网页是否包含挖矿脚本的工具
;卡巴斯基开源基于Yara的分布式恶意软件扫描系统,
;go,实现的Yara恶意软件扫描器
;simple,将恶意文件进行快速分类
;直接对比源代码与编译的二进制文件
;py2,二进制分析和管理框架,对恶意文件进行分析
;通过信息采集(账户、连接、端口等)与yara扫描进行安全检测
;yara引擎为基础的恶意软件识别框架
;powershell,对恶意程序进行检测与监控
;使用语法检测恶意/混淆的JS文件,https://www.blackhoodie.re/assets/archive/JaSt_blackhoodie.pdf
http://edr.sangfor.com.cn/ win,Linux下恶意软件、webshell检测查杀工具
;病毒查杀软件
;rootkit检测工具
;rootkit检测工具
恶意文件检测之webshell查杀扫描
;安全狗web防火墙
;win,啊D出品D盾_防火墙,包含waf与webshel检测功能
;py,webshell检查工具,可后期添加后门指纹,很强大
;一款简洁的Webshell扫描工具
;webshell扫描工具
;可对指定目录进行php webshell检测
;一款高效率PHP-webshell扫描工具
;测试效率高达99%的webshell检测工具
;Webshell扫描工具,支持php/perl/asp/aspx webshell扫描
压力测试与DDOS相关
;DDOS防护
;一个为Windows设计的网络压力测试工具现已支持Mac OS——译者注
;利用Memcached服务器的DDoS攻击工具, 向Memcached服务器发送伪造的UDP数据包使其向攻击目标回复大量数据包
;py,DOS测试
;DHCP IP 资源耗尽攻击工具
;GO,跨平台,TCP, UDP, HTTP, HTTPS压力测试工具
匿名信息保护洋葱路由TorBrowser
;关闭阿里云监控服务
;DWS关闭windows监控服务
;日志清除,Windows/Linux 服务器中的所有
;日志擦除工具
;darkweb暗网爬虫
;darkweb暗网代理服务器,将onion的服务变为普通的服务
;使用nmap扫描Tor网络上隐藏的"onion"服务
;一个使所有流量通过Tor网络发出的脚本
;启用多个tor通道转发流量,并设置负载均衡
爬虫相关
;轻量型爬虫框架,类比Scrapy
;过反爬虫
;模拟登录一些常见的网站
;抓取空间说说内容并进行分析
https://github.com/xjr7670/zone_crawler 空间动态爬虫,利用cookie登录获取所有可访问好友空间的动态保存到本地
在线自服务与工具
;awesome系列之自服务应用
;个人号接口、机器人及命令行
https://github.com/sym233/core-values-encoder js,社会主义核心价值观加密,https://sym233.github.io/core-values-encoder/
https://github.com/valentinxxx/nginxconfig.io/ 在线nginx配置文件生成,demo网址https://nginxconfig.io
https://github.com/asciimoo/searx 搭建一个自己的搜索引擎,DEMO网址https://searx.me/
http://sc.ftqq.com/3.version server酱通知
;Open Source Intelligence (OSINT) Tools & Resources
;根据问题直接给出答案的网站
shodan.io 互联网感知引擎
fofa.so 白帽汇NOSEC
;傻蛋联网设备搜索_湖南安数网络
zoomeye.org 知道创宇互联网感知引擎
;收码接码
;收码接码
;多国身份信息模拟器
;Easily use Google to search profiles on LinkedIn
;美国公民信息查询
;邮件真实性验证
;诺顿网站安全检测
;在线FTP登录
;批量查询网站标题
;在线web指纹识别
;提供api,ip相关工具、在线扫描器
;同IP网站查询,C段查询,IP反查域名,C段旁注,旁注工具
;在线旁站查询|C段查询|必应接口C段查询
;在线子域名爆破
;DNS查询,子域名查询,IP查询,A记录查询,域名解析,旁站查询
;dns recon and research, find and lookup dns records
;ip反查域名---查询啦
;在线恶意文件检测
;恶意软件检测
;恶意软件检测
;移动软件在线检测
;常见勒索软件分析还原
;HASH密码在线破解
;密码哈希在线破解,邮件通知
在线办公套件
;在线操作系统
;在线办公套件,DEMO网址demo.dzzoffice.com
;py,基于Django,OA工单办公管理系统
;PY3,DJANGO,安全测试工单管理
;基于strapdown.js,长亭二次开发开源的Wiki系统,支持markdown
;在线可编辑记事本
;文件共享平台
;利用onion洋葱服务器匿名文件共享
;GO,基于Caddy框架的网盘
;php,私有云网盘,owncloud分支
;php,私有云网盘,界面不美观
;C,私有云网盘,速度快,功能少
;API管理工具
;图片上传分享工具
隐私匿名加密
;在线接收验证码/邮箱/粘贴板/文件传输大集合。
;一次性邮箱
;一次性邮箱
;一次性邮箱
;一次性邮箱
;非手机邮箱
;非手机邮箱
;非手机邮箱
;php,在线聊天室,可扩展
;?your-channel js,在线聊天,问号后面跟你的房间名
;java,聊天室,Akaxin为客户端闭源
;js,在线团队聊天服务器,https://rocket.chat/install
https://telegram.org
https://www.whatsapp.com
https://wire.com/en
https://signal.org
http://www.batmessenger.com
http://sid.co
在线资源
;navicat注册机
;MobaXterm注册机
;zd423 - 软件分享平台领跑者
;免费图标网站
;原生镜像
;注册免费域名,dns解析
;在线代码美化
;Text to ASCII Art Generator
;SPAM,SEO
往期推荐
渗透测试文章收集&&渗透测试面试题目
安卓64位Chrome下载
老漏洞之Jackson反序列化远程代码执行漏洞
2021渗透工具包
Immunity Canvas安装指南|附赠安装好的虚拟机