目錄
漏洞及滲透練習平臺
資料庫注入練習平臺
花式掃描器
資訊蒐集工具
WEB工具
windows域滲透工具
漏洞利用及攻擊框架
漏洞POC&EXP
中間人攻擊及釣魚
密碼破解
二進位制及程式碼分析工具
EXP編寫框架及工具
隱寫相關工具
各類安全資料
各類CTF資源
各類程式設計資源
Python
其它
資料庫漏洞掃描類
弱口令或資訊洩漏掃描類
中介軟體掃描、指紋識別類
專用掃描器
無線網路
綜合類
提示:本資料僅做分享,潤成安全不對以下網址安全性作保證。
網上“衝浪”,注意安全。
漏洞及滲透練習平臺
WebGoat漏洞練習環境
https://
github。com/WebGoat/WebG
oat
https://
github。com/WebGoat/WebG
oat-Legacy
Damn Vulnerable Web Application(漏洞練習平臺)
https://
github。com/RandomStorm/
DVWA
資料庫注入練習平臺
https://
github。com/Audi-1/sqli-
labs
用node編寫的漏洞練習平臺,like OWASP Node Goat
https://
github。com/cr0hn/vulner
able-node
花式掃描器
埠掃描器Nmap
https://
github。com/nmap/nmap
本地網路掃描器
https://
github。com/SkyLined/Loc
alNetworkScanner
子域名掃描器
https://
github。com/lijiejie/sub
DomainsBrute
漏洞路由掃描器
https://
github。com/jh00nbr/Rout
erhunter-2。0
迷你批次資訊洩漏掃描指令碼
https://
github。com/lijiejie/BBS
can
Waf型別檢測工具
https://
github。com/EnableSecuri
ty/wafw00f
資訊蒐集工具
社工外掛,可查詢以email、phone、username的註冊的所有網站賬號資訊
https://
github。com/n0tr00t/Sreg
Github資訊蒐集,可實時掃描查詢git最新上傳有關郵箱賬號密碼資訊
https://
github。com/sea-god/gits
can
github Repo資訊蒐集工具
https://
github。com/metac0rtex/G
itHarvester
WEB工具
webshell大合集
https://
github。com/tennc/webshe
ll
滲透以及web攻擊指令碼
https://
github。com/brianwrf/hac
kUtils
web滲透小工具大合集
https://
github。com/rootphantome
r/hack
tools
for_me
XSS資料接收平臺
https://
github。com/firesunCN/Bl
ueLotus_XSSReceiver
XSS與CSRF工具
https://
github。com/evilcos/xsso
r
Short for command injection exploiter,web向命令注入檢測工具
https://
github。com/stasinopoulo
s/commix
資料庫注入工具
https://
github。com/sqlmapprojec
t/sqlmap
Web代理,透過載入sqlmap api進行sqli實時檢測
https://
github。com/zt2/sqli-hun
ter
新版中國菜刀
https://
github。com/Chora10/Ckni
fe
。git洩露利用EXP
https://
github。com/lijiejie/Git
Hack
瀏覽器攻擊框架
https://
github。com/beefproject/
beef
自動化繞過WAF指令碼
https://
github。com/khalilbijjou
/WAFNinja
http命令列客戶端,可以從命令列構造傳送各種http請求(類似於Curl)
https://
github。com/jkbrzt/httpi
e
瀏覽器除錯利器
https://
github。com/firebug/fire
bug
一款開源WAF
https://
github。com/SpiderLabs/M
odSecurity
windows域滲透工具
windows滲透神器
https://
github。com/gentilkiwi/m
imikatz
Powershell滲透庫合集
https://
github。com/PowerShellMa
fia/PowerSploit
Powershell tools合集
https://
github。com/clymb3r/Powe
rShell
Fuzz
Web向Fuzz工具
https://
github。com/xmendez/wfuz
z
HTTP暴力破解,撞庫攻擊指令碼
https://
github。com/lijiejie/htp
wdScan
漏洞利用及攻擊框架
msf
https://
github。com/rapid7/metas
ploit-framework
Poc呼叫框架,可載入Pocsuite,Tangscan,Beebeeto等
https://
github。com/erevus-cn/po
cscan
Pocsuite
https://
github。com/knownsec/Poc
suite
Beebeeto
https://
github。com/n0tr00t/Beeb
eeto-framework
漏洞POC&EXP
ExploitDB官方git版本
https://
github。com/offensive-se
curity/exploit-database
php漏洞程式碼分析
https://
github。com/80vul/phpcod
z
Simple test for CVE-2016-2107
https://
github。com/FiloSottile/
CVE-2016-2107
CVE-2015-7547 POC
https://
github。com/fjserna/CVE-
2015-7547
JAVA反序列化POC生成工具
https://
github。com/frohoff/ysos
erial
JAVA反序列化EXP
https://
github。com/foxglovesec/
JavaUnserializeExploits
Jenkins CommonCollections EXP
https://
github。com/CaledoniaPro
ject/jenkins-cli-exploit
CVE-2015-2426 EXP (windows核心提權)
https://
github。com/vlad902/hack
ing-team-windows-kernel-lpe
use docker to show web attack(php本地檔案包含結合phpinfo getshell 以及ssrf結合curl的利用演示)
https://
github。com/hxer/vulnapp
php7快取覆寫漏洞Demo及相關工具
https://
github。com/GoSecure/php
7-opcache-override
XcodeGhost木馬樣本
https://
github。com/XcodeGhostSo
urce/XcodeGhost
中間人攻擊及釣魚
中間人攻擊框架
https://
github。com/secretsquirr
el/the-backdoor-factory
https://
github。com/secretsquirr
el/BDFProxy
https://
github。com/byt3bl33d3r/
MITMf
Inject code, jam wifi, and spy on wifi users
https://
github。com/DanMcInerney
/LANs。py
可擴充套件的中間人代理工具
https://
github。com/intrepidusgr
oup/mallory
wifi釣魚
https://
github。com/sophron/wifi
phisher
密碼破解
密碼破解工具
https://
github。com/shinnok/john
ny
本地儲存的各類密碼提取利器
https://
github。com/AlessandroZ/
LaZagne
二進位制及程式碼分析工具
二進位制分析工具
https://
github。com/devttys0/bin
walk
系統掃描器,用於尋找程式和庫然後收集他們的依賴關係,連結等資訊
https://
github。com/quarkslab/bi
nmap
rp++ is a full-cpp written tool that aims to find ROP sequences in PE/Elf/Mach-O (doesn‘t support the FAT binaries) x86/x64 binaries。
https://
github。com/0vercl0k/rp
Windows Exploit Development工具
https://
github。com/lillypad/bad
ger
二進位制靜態分析工具(python)
https://
github。com/bdcht/amoco
Python Exploit Development Assistance for GDB
https://
github。com/longld/peda
對BillGates Linux Botnet系木馬活動的監控工具
https://
github。com/ValdikSS/bil
lgates-botnet-tracker
木馬配置引數提取工具
https://
github。com/kevthehermit
/RATDecoders
Shellphish編寫的二進位制分析工具(CTF向)
https://
github。com/angr/angr
針對python的靜態程式碼分析工具
https://
github。com/yinwang0/pys
onar2
一個自動化的指令碼(shell)分析工具,用來給出警告和建議
https://
github。com/koalaman/she
llcheck
基於AST變換的簡易Javascript反混淆輔助工具
https://
github。com/ChiChou/etac
sufbo
EXP編寫框架及工具
二進位制EXP編寫工具
https://
github。com/t00sh/rop-to
ol
CTF Pwn 類題目指令碼編寫框架
https://
github。com/Gallopsled/p
wntools
an easy-to-use io library for pwning development
https://
github。com/zTrix/zio
跨平臺注入工具( Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android。)
https://
github。com/frida/frida
隱寫相關工具
隱寫檢測工具
https://
github。com/abeluck/steg
detect
各類安全資料
域滲透教程
https://
github。com/l3m0n/pentes
t_study
python security教程(原文連結
http://www。
primalsecurity。net/tuto
rials/python-tutorials/
)
https://
github。com/smartFlash/p
ySecurity
data_hacking合集
https://
github。com/ClickSecurit
y/data_hacking
mobile-security-wiki
https://
github。com/exploitproto
col/mobile-security-wiki
書籍《reverse-engineering-for-beginners》
https://
github。com/veficos/reve
rse-engineering-for-beginners
一些資訊保安標準及裝置配置
https://
github。com/luyg24/IT_se
curity
APT相關筆記
https://
github。com/kbandla/APTn
otes
Kcon資料
https://
github。com/knownsec/KCo
n
ctf及駭客資源合集
https://
github。com/bt3gl/My-Gra
y-Hacker-Resources
ctf和安全工具大合集
https://
github。com/zardus/ctf-t
ools
《DO NOT FUCK WITH A HACKER》
https://
github。com/citypw/DNFWA
H
各類CTF資源
近年ctf writeup大全
https://
github。com/ctfs/write-u
ps-2016
https://
github。com/ctfs/write-u
ps-2015
https://
github。com/ctfs/write-u
ps-2014
fbctf競賽平臺Demo
https://
github。com/facebook/fbc
tf
ctf Resources
https://
github。com/ctfs/resourc
es
各類程式設計資源
大禮包(什麼都有)
https://
github。com/bayandin/awe
some-awesomeness
bash-handbook
https://
github。com/denysdovhan/
bash-handbook
python資源大全
https://
github。com/jobbole/awes
ome-python-cn
git學習資料
https://
github。com/xirong/my-gi
t
安卓開原始碼解析
https://
github。com/android-cn/a
ndroid-open-project-analysis
python框架,庫,資源大合集
https://
github。com/vinta/awesom
e-python
JS 正則表示式庫(用於簡化構造複雜的JS正則表示式)
https://
github。com/VerbalExpres
sions/JSVerbalExpressions
Python
python 正則表示式庫(用於簡化構造複雜的python正則表示式)
https://
github。com/VerbalExpres
sions/PythonVerbalExpressions
python任務管理以及命令執行庫
https://
github。com/pyinvoke/inv
oke
python exe打包庫
https://
github。com/pyinstaller/
pyinstaller
py3 爬蟲框架
https://
github。com/orf/cyborg
一個提供底層介面資料包程式設計和網路協議支援的python庫
https://
github。com/CoreSecurity
/impacket
python requests 庫
https://
github。com/kennethreitz
/requests
python 實用工具合集
https://
github。com/mahmoud/bolt
ons
python爬蟲系統
https://
github。com/binux/pyspid
er
ctf向 python工具包
https://
github。com/P1kachu/v0lt
其他
以下內容來自:
https://
github。com/We5ter/Scann
ers-Box/blob/master/README_CN。md
子域名列舉類
https://
github。com/lijiejie/sub
DomainsBrute
(經典的子域名爆破列舉指令碼)
https://
github。com/ring04h/wydo
main
(子域名字典窮舉)
https://
github。com/le4f/dnsmape
r
(子域名列舉與地圖示記)
https://
github。com/0xbug/orange
scan
(線上子域名資訊收集工具)
https://
github。com/TheRook/subb
rute
(根據DNS記錄查詢子域名)
https://
github。com/We5ter/Googl
eSSLdomainFinder
(基於谷歌SSL透明證書的子域名查詢指令碼)
https://
github。com/mandatorypro
grammer/cloudflare_enum
(使用CloudFlare進行子域名列舉的指令碼)
https://
github。com/18F/domain-s
can
(A domain scanner)
https://
github。com/Evi1CLAY/Coo
l
。。。 Python/DomainSeeker(多方式收集目標子域名資訊)
資料庫漏洞掃描類
https://
github。com/0xbug/SQLiSc
anner
(一款基於SQLMAP和Charles的被動SQL注入漏洞掃描工具)
https://
github。com/stamparm/DSS
S
(99行程式碼實現的sql注入漏洞掃描器)
https://
github。com/LoRexxar/Fei
gong
(針對各種情況自由變化的MySQL注入指令碼)
https://
github。com/youngyangyan
g04/NoSQLAttack
(一款針對mongoDB的攻擊工具)
https://
github。com/Neohapsis/bb
qsql
(SQL盲注利用框架)
https://
github。com/NetSPI/Power
UpSQL
(攻擊SQLSERVER的Powershell指令碼框架)
弱口令或資訊洩漏掃描類
https://
github。com/lijiejie/htp
wdScan
(一個簡單的HTTP暴力破解、撞庫攻擊指令碼)
https://
github。com/lijiejie/BBS
can
(一個迷你的資訊洩漏批次掃描指令碼)
https://
github。com/lijiejie/Git
Hack
(。git資料夾洩漏利用工具)
https://
github。com/wilson9x1/fe
nghuangscanner_v3
(埠及弱口令檢測)
https://
github。com/ysrc/F-Scrac
k
(對各類服務進行弱口令檢測的指令碼)
https://
github。com/Mebus/cupp
(根據使用者習慣生成弱口令探測字典指令碼)
https://
github。com/RicterZ/genp
Ass
(中國特色的弱口令生成器)
https://
github。com/netxfly/crac
k_ssh
(go寫的協程版的ssh\redis\mongodb弱口令破解工具)
物聯網裝置掃描
https://
github。com/rapid7/IoTSe
eker
(物聯網裝置預設密碼掃描檢測工具)
https://
github。com/shodan-labs/
iotdb
(使用nmap掃描IoT裝置)
xss掃描器
https://
github。com/shawarkhanet
hicalhacker/BruteXSS
(Cross-Site Scripting Bruteforcer)
https://
github。com/1N3/XSSTrace
r
(A small python script to check for Cross-Site Tracing)
https://
github。com/0x584A/fuzzX
ssPHP
(PHP版本的反射型xss掃描)
https://
github。com/chuhades/xss
_scan
(批次掃描xss的python指令碼)
企業網路自檢
https://
github。com/sowish/LNSca
n
(詳細的內部網路資訊掃描器)
https://
github。com/ysrc/xunfeng
(網路資產識別引擎,漏洞檢測引擎)
https://
github。com/SkyLined/Loc
alNetworkScanner
(javascript實現的本地網路掃描器)
https://
github。com/laramies/the
Harvester
(企業被搜尋引擎收錄敏感資產資訊監控指令碼:員工郵箱、子域名、Hosts)
https://
github。com/x0day/Multis
earch-v2
(bing、google、360、zoomeye等搜尋引擎聚合搜尋,可用於發現企業被搜尋引擎收錄的敏感資產資訊)
webshell檢測
https://
github。com/We5ter/Scann
ers-Box/tree/master/Find_webshell/
(php後門檢測,指令碼較簡單,因此存在誤報高和效率低下的問題)
https://
github。com/yassineaddi/
BackdoorMan
(A toolkit find malicious, hidden and suspicious PHP scripts and shells in a chosen destination)
內網滲透
https://
github。com/0xwindows/Vu
lScritp
(企業內網滲透指令碼,包括banner掃描、埠掃描;phpmyadmin、jenkins等通用漏洞利用等)
https://
github。com/lcatro/netwo
rk
backdoor
scanner(基於網路流量的內網探測框架)
https://
github。com/fdiskyou/hun
ter
(呼叫 Windows API 列舉使用者登入資訊)
中介軟體掃描、指紋識別類
https://
github。com/ring04h/wypo
rtmap
(目標埠掃描+系統服務指紋識別)
https://
github。com/ring04h/weak
filescan
(動態多執行緒敏感資訊洩露檢測工具)
https://
github。com/EnableSecuri
ty/wafw00f
(WAF產品指紋識別)
https://
github。com/rbsec/sslsca
n
(ssl型別識別)
https://
github。com/urbanadventu
rer/whatweb
(web指紋識別)
https://
github。com/tanjiti/Fing
erPrint
(web應用指紋識別)
https://
github。com/nanshihui/Sc
an-T
(網路爬蟲式指紋識別)
https://
github。com/OffensivePyt
hon/Nscan
(a fast Network scanner inspired by Masscan and Zmap)
https://
github。com/ywolf/F-NASc
an
(網路資產資訊掃描, ICMP存活探測,埠掃描,埠指紋服務識別)
https://
github。com/ywolf/F-Midd
lewareScan
(中介軟體掃描)
https://
github。com/maurosoria/d
irsearch
(Web path scanner)
https://
github。com/x0day/banner
scan
(C段Banner與路徑掃描)
https://
github。com/RASSec/RASsc
an
(埠服務掃描)
https://
github。com/3xp10it/bypa
ss_waf
(waf自動暴破)
https://
github。com/3xp10it/myto
ols/blob/master/xcdn。py
(獲取cdn背後的真實ip)
https://
github。com/Xyntax/BingC
(基於Bing搜尋引擎的C段/旁站查詢,多執行緒,支援API)
https://
github。com/Xyntax/DirBr
ute
(多執行緒WEB目錄爆破工具)
https://
github。com/zer0h/httpsc
an
(一個爬蟲式的網段Web主機發現小工具)
https://
github。com/lietdai/doom
(thorn上實現的分散式任務分發的ip埠漏洞掃描器)
專用掃描器
https://
github。com/blackye/Jenk
ins
(Jenkins漏洞探測、使用者抓取爆破)
https://
github。com/code-scan/dz
scan
(discuz掃描)
https://
github。com/chuhades/CMS
-Exploit-Framework
(CMS攻擊框架)
https://
github。com/lijiejie/IIS
shortname
Scanner (an IIS shortname Scanner)
https://
github。com/We5ter/Scann
e
。。。 ter/FlashScanner。pl (flashxss掃描)
https://
github。com/coffeehb/SST
IF
(一個Fuzzing伺服器端模板注入漏洞的半自動化工具)
無線網路
https://
github。com/savio-code/f
ern-wifi-cracker/
(無線安全審計工具)
https://
github。com/m4n3dw0lf/Py
theM
(Python網路/滲透測試工具)
https://
github。com/P0cL4bs/WiFi
-Pumpkin
(無線安全滲透測試套件)
綜合類
https://
github。com/az0ne/AZScan
ner
(自動漏洞掃描器,子域名爆破,埠掃描,目錄爆破,常用框架漏洞檢測)
https://
github。com/blackye/lala
scan
(自主開發的分散式web漏洞掃描框架,集合owasp top10漏洞掃描和邊界資產發現能力)
https://
github。com/blackye/BkSc
anner
(BkScanner 分散式、外掛化web漏洞掃描器)
https://
github。com/ysrc/GourdSc
anV2
(被動式漏洞掃描)
https://
github。com/alpha1e0/pen
testdb
(WEB滲透測試資料庫)
https://
github。com/netxfly/pass
ive_scan
(基於http代理的web漏洞掃描器)
https://
github。com/1N3/Sn1per
(自動化掃描器,包括中介軟體掃描以及裝置指紋識別)
https://
github。com/RASSec/pente
stEr_Fully-automatic-scanner
(定向全自動化滲透測試工具)
https://
github。com/3xp10it/3xp1
0it
(3xp10it自動化滲透測試框架)
https://
github。com/Lcys/lcyscan
(python外掛化漏洞掃描器)
https://
github。com/Xyntax/POC-T
(滲透測試外掛化併發框架)
CTF平臺
http://www。
shiyanbar。com/
http://
oj。xctf。org。cn/
http://
ctf。bugku。com/
http://rookiehacker。org/