/sectool

Primary LanguagePython

更新于 2023-02-20 09:09:46

近30天release更新记录

更新时间 项目名称 版本 更新内容
2023-02-19 18:19:13 dbeaver 22.3.5 - ChatGPT smart completion:- Completion
popup UI was improved- Metadata scope c
onfiguration was added- Redundant config
options wer removed- Data editor:- Acce
ssibility support was significantly impr
oved (context menu, additional keyboard
shortcuts)- Filtering and ordering icons
visibility configuration was added agai
n- Dictionary viewer was fixed (issue wi
th missing dictionary values)- "Save fil
ters" button was removed from custom SQL
queries results- App crash on geometry
viewer opening was resolved in the lates
t version of MacOS- SQL editor: query te
xt extraction was fixed (issue with trai
ling comment after query text)- Database
backup/restore: issue with external too
ls running was resolved (Linux)- Applica
tion fonts were unified. Now we have onl
y Main and Monospace fonts configuration
- Data transfer: data type mapping now r
espects type name case (for databases wi
th different default case)- Variables su
pport in database tasks was fixed- Datab
ase tools wizard: redundant task configu
ration page was removed- SQL generator d
ialog now show progress to avoid UI free
ze on big schemas- Issue with opening ER
D files from disk ws resolved- Clickhous
e: DDL for array columns was fixed- Data
bricks: additional metadata was added- E
xasol: default connection parameters wer
e updated (thanks to @allipatev)- IRIS (
ex Cache): driver version was updated- O
racle: stored procedures invocation synt
ax was improved- Snowflake: driver now u
ses single database connection for all e
ditors (configurable)- SQL Server:- Driv
er version was updated to 11.2.3. Trust
server certificate option was moved to t
he main connection page- Server messages
(printed on raiserror) reading was fixe
d- Multiple resultsets reading was fixed
(extra error handling was added)- VARCH
AR(MAX) data type support was added- SQL
ite: converting binary columns into stri
ng representation was fixed
2023-02-18 15:11:13 super-xray 1.5 ## 1.5更新内容: - [important] [improve
] 更简洁更好用的新UI #144 - [important]
[feat] 支持拖拽xray文件加载 #140 - [impo
rtant] [feat] 允许设置日志等级 #146 - [b
ug] CPU占用较高问题RAD修复不完善 #139 -
[feat] 增加一键修复/还原的功能 #143 - [f
eat] 自动检查版本更新并提示 #142 - [impr
ove] 反连HTTP URL输入的验证 #145下载: -
super-xray-1.5.jar 版本通过java -jar su
per-xray-1.5.jar启动 - super-xray-1.5-jr
e-exe.zip 是内置了JRE的exe版本 - super-x
ray-1.5-system-jre.exe 是使用系统JRE的ex
e版本 - Super-Xray.app.zip 是 Mac OS 的
app (测试版可能有bug)
2023-02-17 13:04:31 RequestTemplate v1.1.2 2023.2.17 21:00 1.更新了多个模块报错
2023-02-16 06:25:09 autoDecoder 0.22-beta
1
## 2023.2.16 更新0.22-beta1 1. 优化了读
取密文的时候将\u0000去除的问题 2. 在自带
算法中,将请求包加解密、响应包加解密分离
开,可以选中加密算法null表示不进行加解密
,返回原数据包
2023-02-16 06:14:37 veinmind-tools v2.0.3 ## Fix - 修复 Dockerfile 编写问题
2023-02-15 10:17:50 gshark v1.1.4 ## Fixed* 修复无法变更规则状态的问题 *
增加新增 token 的 postman 类型## Added*
增加 startSecFilterTask 以及 getTaskStatu
sAPI 权限初始化
2023-02-15 02:41:43 SpringBoot-Scan-GUI v1.2.2 针对CVE-2022-22965,增加shell验证减少误
报,新增加操作系统识别功能,若需使用,可
从菜单【更多】,前往nmap下载使用,识别仅
支持单地址
2023-02-14 09:25:00 SmsForwarder v3.2.0 PS. 距离上一次1024发版,已经过去快5个月
了,期间发生不少事,一直没更新这个项目,
不管如何,魔幻的2022年都过去了!感谢大家
这2年来的陪伴与支持,祝大家有情人终成眷属
,情人节快乐!---### 【注意】* v3.x版本是
全新重构开发,可能一开始并不稳定,建议升
级前先做好数据备份!(客户端>一键换新机>
离线模式>导出)* v3.2.0 去除了 mmkv 依赖
,采用 SharedPreferences 来保存配置,升级
之后通用设置中的配置请重新配置,具体原因
参见 Issue #245* 升级完毕后
,建议离线导出配置,完全卸载干净全新安装
后再导入配置(可以避免一些莫名其妙的玄学
问题,例如:耗电异常)---### 更新日志* 新
增:短信指令(根据短信指令开关对应功能)
#I5YX3F * 新增:监听网络状态变化提醒(AP
P通知转发,包名:77777777) #259 * 新增
:远程改话簿(方便给老人家添加联系人) #2
56 * 新增:远程查询手机定位(方便找回手
机/防止老少走丢) #256 * 新增:Socket发送
通道(支持MQTT/TCP/UDP协议) #252 * 新增
:发送通道 URL Scheme(支持跨应用数据传递
)#250 * 新增:自动消除额外APP通知 #232 #
248* 优化:短信/通话转发获取卡槽信息机制
(自行备注卡槽SubId对应)#228 #235 * 优化
:来电转发逻辑 & 新增提醒类型(1.来电挂机
2.去电挂机 3.未接来电 4.来电提醒 5.来电
接通 6.去电拨出) * 优化:单个转发规则支
持绑定多个发送通道,且支持执行逻辑(全部
执行/失败即止/成功即止) #247 * 优化:转
发日志列表以原始信息为主,聚合展示转发日
志(一对多) * 优化:已安装App信息列表异
步加载机制 * 优化:电池状态监听/网络状态
监控 在未开启去重时默认开启1秒去重 * 优化
:利用BatteryReceiver守护自启动的Frpc (试
验) #254* 修复:Android 13 无法授予通知权
限 #255 * 修复:重启手机自动启动APP时加载
配置失败 #233 #245 * 修复:转发消息遍历发
送通道时未跳过已禁用的通道 * 修复:降级An
droid Gradle插件版本以兼容4.4 (#249 by N
yaMisty)* 升级:andserver到2.1.12(加快w
eb端上下行速度等) * 升级:frpclib 到 v0
.47.0 * 升级:androidx组件和kotlin版本还
有一些细微调整参见github提交记录---### AP
K版本说明: * universal: 通用版(不在乎
安装包大小/懒得选就用这个版本,包含以下4
种CPU架构so) * armeabi-v7a: 32位ARM设备
(备用机首选) * arm64-v8a: 64位ARM设备(
主流旗舰机) * x86: 32位Intel设备 * x86_6
4: 64/32位Intel设备
2023-02-14 05:23:46 log4j2burpscanner 0.22.0 # 0.22.0 更新 ## 2023-2-14fix problem #
58修复数据包中uri带有完整域名的问题,感
谢@0xWi11 师傅反馈
2023-02-13 17:23:10 faker v17.0.0 See CHANGELOG.md.
2023-02-13 07:25:06 murphysec v3.0.1
2023-02-13 06:07:53 rotateproxy v0.7.2 ## Changelog * 10ddfd1 fix: modernc.org
/sqlite 不支持 win 386
2023-02-13 03:33:11 ENScan_GO V0.0.9 bugfix - 修复JSON导出问题 fix #46 -
修复天眼查日期问题 fix #43 - 修复阿拉丁
导出bug fix #30new - 增加只在终端显示
不导出文件 fix #25
2023-02-10 14:36:44 nuclei v2.8.9 ## What's Changed* Fixed URL encoding
issues in paths by @tarunKoyalwar
in
https://github.com/projectdiscovery/nucl
ei/pull/3294 * Fixed panic crash with
ratelimit by @tarunKoyalwar
in https:/
/github.com/projectdiscovery/nuclei/pull
/3257 * Fixed path handling inconsistenc
ies by @tarunKoyalwar in https://github.
com/projectdiscovery/nuclei/pull/3243 *
Fixed data race in templates with payloa
ds by @tarunKoyalwar in https://github.c
om/projectdiscovery/nuclei/pull/3265 *
Fixed using httpx as a library for http
probing by @Ice3man543
in https://git
hub.com/projectdiscovery/nuclei/pull/326
1 * Fixed data race in race requests by
@tarunKoyalwar in https://github.com/pro
jectdiscovery/nuclei/pull/3275 * Fixed p
ublish docs workflow by @tarunKoyalwar i
n https://github.com/projectdiscovery/nu
clei/pull/3296 * Fixed retryablehttp for
templates loading by @Mzack9999 in http
s://github.com/projectdiscovery/nuclei/p
ull/3291 * Fixed aes_cbc helper function
update by @Ice3man543 in https://github
.com/projectdiscovery/nuclei/pull/3287 *
Fixed json schema for extractor attribu
te by @Mzack9999 in https://github.com/p
rojectdiscovery/nuclei/pull/3240 * Add
ed env variable support in reporting con
fig by @xm1k3
in https://github.com/pr
ojectdiscovery/nuclei/pull/3188 * Added
proxy use in headless binary download by
@Mzack9999 in https://github.com/projec
tdiscovery/nuclei/pull/3290 * Added in
teractsh payload input support in TLS SN
I field by @Mzack9999
in https://githu
b.com/projectdiscovery/nuclei/pull/3276I
ssues closed in the release - https://gi
thub.com/projectdiscovery/nuclei/milesto
ne/26?closed=1## New Contributors * @M-F
aheem-Khan made their first contribution
in https://github.com/projectdiscovery/
nuclei/pull/3235 * @galoget made their f
irst contribution in https://github.com/
projectdiscovery/nuclei/pull/3299Full
Changelog
: https://github.com/projectd
iscovery/nuclei/compare/v2.8.8...v2.8.9
2023-02-10 11:17:41 captcha-killer-modi
fied
0.21-beta 【2023-2-10】 0.21-beta - 优化验证码编
码中的\n处理 - 优化@captcha@的判断方式感
谢微信群@5ING 、@策马奔腾 师傅反馈
2023-02-10 03:38:45 Elkeid rasp-v2.1
.0.8-pre
2023-02-09 13:53:05 github-subdomains v1.2.2
2023-02-09 03:57:44 ysoserial v1.3 1. 添加 ROME3、CommonsCollectionsK1、Co
mmonsCollectionsK2 利用链; 2. 添加 mcl
参数,可以指定在 TransformerUtil 中使用 o
rg.mozilla.javascript.DefiningClassLoade
r; 3. 添加 f 参数,可以指定将输出写在文
件中; 4. 更新 BeanShell 在 2.0b4 上的利
用链,并用 ScriptEngineManager 的方式对 B
eanShell 链支持内存马; 5. 更新 SpringWe
bFlux 内存马(目前仅支持 gz 及 cmd); 6
. 添加 SpringEcho 回显方式; 7. 更新 cmd
/冰蝎/哥斯拉 动态添加的逻辑使用纯反射编
写; 8. **【重要】**移除 Referer 参数,用
于校验的 Referer 头部现改为可自定义 Heade
r 头部和值,并将校验逻辑由 equals 改为 c
ontains;9. 支持自定义传递执行命令的 Hea
der 头; 10. 支持自定义 Godzilla key; 1
1. 由于打包问题,移除 RenderedImage 利用
链及相关依赖; 12. 更新 Executor 内存马使
用 CMD_HEADER_STRING 统一 Header; 13. 优
化大量代码,修复若干 BUG,更新 ReadMe。
2023-02-06 09:28:04 ffuf v2.0.0 ## Changelog * e952deb Fix the v2 taggi
ng for go install (#639) * 19e07c0 Fix r
equired go version (#637) * 77cc45c Prep
are for v2.0 release (#635) * c7d0fb5 Gr
acefully error in case stdin is used for
search result (#634) * 643f6b8 Scraper
functionality (#633) * 39c8934 Added add
itional proxy URL verification (#574) *
bbb97ab Typo fix (#581) * 3b219f2 fix: c
hanged usage from version 1.3.0 to versi
on 1.5.0 (#595) * 633893c Change precede
nce of quiet and JSON output to favour J
SON (#570) * 0236210 Add homebrew instal
l method (#552) * 7bff9e7 Fix time-based
matcher (#575) * ebb4c44 Sniper templat
e parsing - fixes #579 (#580) * 9bddff7
New functionality to map fired blind pay
loads back to the initial request (#632)
* b7adc50 Fix jsonlines output while in
silent mode (#630) * 2ce2217 Enhanced r
ate limiting (#620) * 1a684a9 Fix the ac
for good now (#615) * 3328a28 Fix linte
r workflow and autocalibration for lines
& words match (#614)
2023-02-05 15:40:56 geacon_pro geacon_pr
o_v1.3
2023.2.3 v1.3 更新日志1.新增unhook(ntdl
l.dll,kernel32.dll,kernelbase.dll) 2.新
增argue欺骗 3.修复了drives部分情况下错误
、keylogger中文会乱码、dllinject远程注入
失败、自删除部分情况下失败、upload时在原
文件基础上append的BUG 4.将os.Exit(0)修改
为return,避免转换成反射型dll注入后退出宿
主进程 5.优化代码结构与sysinfo的显示
2023-02-05 15:20:55 Viper v1.5.26 ## v1.5.26 20230205 ### 优化 - 合并meta
sploit-framework 6.3.2版本 (更新多个域渗
透模块)### Bugfix - 修复 https://github.c
om/FunnyWolf/Viper/issues/93 - 修复 http
s://github.com/FunnyWolf/Viper/issues/12
0
2023-02-04 14:54:34 afrog v2.2.1 Merge many fingerprint pocs into the pa
nel-detect.yaml file to reduce the numbe
r of http requests Consoleprint date for
mat, 2023-01-01 changed to 01-01 Simplif
ied afrog-config configurationFixed: inv
alid -fc configuration Tip: Configure th
e -c command, which can increase the con
currency speed very quickly-------------
----------------------------------------
------------------------将多个 panel 指
纹探测合并到文件 panel-detect.yaml,大幅
减少 http 请求 精简控制台日期打印,2023-0
1-01 改为 01-01 精简 afrog-config 配置信
息解决:-fc 命令配置无效问题 提示:配置 -
c 命令能明显提高扫描速度
2023-02-04 12:24:47 cola_dnslog v1.3.2 ## What's Changed * cola dnslog v1.1.0
by @AbelChe in https://github.com/AbelCh
e/cola_dnslog/pull/1 * 1.2.0 by @AbelChe
in https://github.com/AbelChe/cola_dnsl
og/pull/2 * 1.2.0 by @AbelChe in https:/
/github.com/AbelChe/cola_dnslog/pull/4 *
cola dnslog v1.2.1 by @AbelChe in https
://github.com/AbelChe/cola_dnslog/pull/5
* cola dnslog v1.2.2 by @AbelChe in htt
ps://github.com/AbelChe/cola_dnslog/pull
/6 * cola dnslog v1.2.3 by @AbelChe in h
ttps://github.com/AbelChe/cola_dnslog/pu
ll/8 * cola dnslog v1.3.0 by @AbelChe in
https://github.com/AbelChe/cola_dnslog/
pull/9 * cola dnslog v1.3.1 by @AbelChe
in https://github.com/AbelChe/cola_dnslo
g/pull/10 * cola dnslog v1.3.1 by @AbelC
he in https://github.com/AbelChe/cola_dn
slog/pull/11 * update readme by @AbelChe
in https://github.com/AbelChe/cola_dnsl
og/pull/12 * 1.3.1 by @AbelChe in https:
//github.com/AbelChe/cola_dnslog/pull/13
* change by @AbelChe in https://github.
com/AbelChe/cola_dnslog/pull/17 * v1.3.2
fix bugs & add new functions by @AbelCh
e in https://github.com/AbelChe/cola_dns
log/pull/24 * 1.3.2 by @AbelChe in https
://github.com/AbelChe/cola_dnslog/pull/2
5## New Contributors * @AbelChe made the
ir first contribution in https://github.
com/AbelChe/cola_dnslog/pull/1Full Cha
ngelog
: https://github.com/AbelChe/col
a_dnslog/commits/v1.3.2### ### ###
2023-02-04 08:54:47 URLFinder 2023.2.3 ## 2023/2/3 更新新增 域名信息展示变化 -
i配置文件可配置抓取规则等
2023-02-03 10:17:50 passive-scan-client 0.3.1 1. 添加url黑明单 2. 添加右键Send to Pas
sive Scan Client手动转发thx @i11us0ry
2023-01-30 08:25:35 railgun v1.5.2 解压密码railgun1. 增加gRPC模式,扩展ser
ver端a. 实现了dnslog,通过客户端可直接管
理server,并做了一些优化。b. 实现了UDP/TC
P的socket反连,通过不同伪装头部来过滤。c
. 实现了ICMP反连,通过发送特定长度的ping
包来过滤。d. 实现HTTP/HTTPS serverⅰ. HTT
P LOG1. 增加http 完整请求包记录ⅱ. 任意
内容和大文件下载ⅲ. 扩展服务配置参数,并
添加已启动服务信息单独查看窗口。e. gRPC完
成tls双向认证f. 增加鉴权,目前只设置管理
员和普通用户。g. 历史搜索里,增加查询服务
端数据库,目前暂定管理员可查(迁移至gRPC
模块)。h. 增加单独gRPC模块,可用于gRPC的
设置、用户管理以及历史搜索。 2. 编码转换a
. 将https://github.com/lz520520/encrypt-
js 合入,通过Dict2ConsoleJS和ConsoleExtr
actEncryptPwd两种编码来实现

近30天commit提交记录

提交时间 项目名称 更新内容
2023-02-20 01:00:03 NucleiTP 更新啦❤️
2023-02-20 00:34:02 PocOrExp_in_Github update 2023-02-20 08:34:02
2023-02-19 22:09:12 qsnctf-python rarcrack
2023-02-19 16:36:47 RedisEXP 解决支持中文路径
2023-02-19 16:29:58 RsaCtfTool Forgot =
2023-02-19 15:49:37 faker Minor typos I noticed in comments (#1798)
2023-02-19 12:41:37 ffuf Fix HTML output (#640)
2023-02-18 16:06:17 super-xray macos
2023-02-18 00:01:09 nuclei chore(deps): bump golang.org/x/net from 0.6.0 to 0.7.0
in /v2 (#3337)Bumps golang.org/x/net from 0.6.0 to 0.7.0.- Release notes- Commits---upd
ated-dependencies:- dependency-name: golang.org/x/netde
pendency-type: direct:production...Signed-off-by: depen
dabot[bot]Co-authored-by: dependabot[bot]
2023-02-17 23:20:24 naabu Merge pull request #563 from projectdiscovery/dependab
ot/go_modules/v2/golang.org/x/net-0.7.0chore(deps): bum
p golang.org/x/net from 0.1.0 to 0.7.0 in /v2
2023-02-17 12:55:04 dbeaver Merge branch 'devel' of https://github.com/dbeaver/dbe
aver into devel
2023-02-17 03:37:31 poc-hub 整理
2023-02-17 02:30:41 feroxbuster Merge pull request #793 from epi052/all-contributors/a
dd-f3rn0sdocs: add f3rn0s as a contributor for bug
2023-02-16 18:40:27 NessusToReport nessus_only_ips字段默认空
2023-02-16 10:50:14 autoDecoder Update README.md
2023-02-16 10:28:59 murphysec chore(deps): bump github.com/wk8/go-ordered-map/v2 fro
m 2.1.5 to 2.1.6 (#128)Bumps github.com/wk8/go-ordered
-map/v2
from 2.
1.5 to 2.1.6.- Release notes- Changelog- Commits
---updated-dependencies:- dependency-name: git
hub.com/wk8/go-ordered-map/v2dependency-type: direct:pr
oductionupdate-type: version-update:semver-patch...Sign
ed-off-by: dependabot[bot]Co-authored-by: dependabot[bo
t]
2023-02-16 08:02:56 0day optimize dirs
2023-02-16 06:12:55 veinmind-tools fix(ci): runner dockerfile (#192)
2023-02-16 01:36:10 gshark remove comments
2023-02-15 09:46:59 kscan [*]修复一个Redis协议爆破的bug,之前可能会存在误报
2023-02-15 03:34:58 xray [update] readme
2023-02-15 02:40:09 SpringBoot-Scan-GUI Delete targets.txt
2023-02-15 02:30:55 ysoserial 更新 Jboss Filter 型内存马支持 JBoss-4.2.3.GA
2023-02-15 02:01:21 SmsForwarder 优化:APP通知转发的默认模板去除卡槽主键(SubId)字段
2023-02-15 01:51:40 Elkeid update RASP ElkeidData.xlsx
2023-02-14 13:28:52 BurpSuite-collectio
ns
add OutLook: 在已登录Outlook账号后,可以使用该插件自动
爬取所有联系人的信息
2023-02-14 09:38:24 wpscan Merge pull request #1770 from wpscanteam/dependabot/gi
thub_actions/docker/build-push-action-4Bump docker/buil
d-push-action from 3 to 4
2023-02-14 05:21:16 log4j2burpscanner Update README.md
2023-02-14 04:41:01 All-Defense-Tool 更新v2.2
2023-02-14 03:37:28 dirsearch Merge pull request #1278 from ibnudev7/patch-1Update d
icc.txt
2023-02-13 06:49:15 Awesome-Redteam 更新README.md
2023-02-13 06:04:33 rotateproxy fix: modernc.org/sqlite 不支持 win 386
2023-02-13 03:26:39 ENScan_GO 修复JSON导出问题 fix #46
修复天眼查日期问题 fix #43

复阿拉丁导出bug fix #30
增加只在终端显示不导出文件 fix #
25
2023-02-13 03:10:11 404StarLink weekly update at 2023-02-13
2023-02-13 03:07:42 vulnerability CVE-2023-0669
2023-02-13 01:28:57 afrog update poc
2023-02-11 06:57:41 OA-EXPTOOL Update mode.py
2023-02-10 12:15:31 captcha-killer-modi
fied
Update README.md
2023-02-10 09:53:54 Some-PoC-oR-ExP Create CVE-2023-25194.md
2023-02-10 07:42:53 Vuln-List Update 中间件&框架&平台&第三方服务漏洞.md
2023-02-10 05:56:40 Threathunting-book delete
2023-02-09 13:53:02 github-subdomains v1.2.2
2023-02-09 08:50:43 geacon_pro Update README.md
2023-02-09 07:22:30 X-Marshal Update README.md
2023-02-09 01:11:01 Vulnerability-Wiki 更新漏洞
2023-02-09 01:09:59 Awesome-POC 更新漏洞
2023-02-08 23:30:22 log4j-shell-poc :)
2023-02-08 13:55:17 QingTing add code
2023-02-08 03:49:42 ARL Merge pull request #480 from chasenz/masterUpdate nucl
ei dump
2023-02-08 02:14:56 SharpWxDump Update README.md
2023-02-06 04:48:56 cola_dnslog Merge pull request #26 from AbelChe/1.3.2fix webserver
404
2023-02-06 01:44:57 Vulhub-Reproduce 更新漏洞
2023-02-05 15:19:54 Viper update version v1.5.26
2023-02-05 07:11:23 RouteVulScan Update Config_yaml.yaml
2023-02-04 08:56:24 URLFinder Delete URLFinder-linux-amd64
2023-02-03 10:10:16 passive-scan-client 恢复默认端口和整理代码符合低版本语法糖
2023-02-03 07:47:41 ysomap fix bug
2023-02-02 06:50:04 mitaka Merge pull request #694 from ninoseki/renovate/typescr
ipt-eslint-monorepochore(deps): update typescript-eslin
t monorepo to v5.44.0
2023-02-02 02:36:25 JDumpSpider add SpringSecurityUsernamePasswordAuthenticationToken
spider.
2023-02-01 12:26:23 RequestTemplate Update README.md
2023-02-01 01:39:12 CRC32-Tools Update README.md
2023-01-31 06:43:13 appshark fix ConcurrentModificationException when visit Scene.v
().classes
2023-01-30 13:17:30 WMIHACKER Update README_zh.md
2023-01-30 08:54:59 BugRepoter_0x727 V1.15 解决onlyoffice打开文档错误。
2023-01-29 02:01:58 ddddocr Update README.md
2023-01-27 15:21:16 Platypus build(deps): bump cookiejar from 2.1.2 to 2.1.4 in /we
b/ttyd (#177)Bumps cookiejar from 2.1.2 to 2.1.4.- [Release notes](
https://github.com/bmeck/node-cookiejar/releases)- Com
mits
-
--updated-dependencies:- dependency-name: cookiejardepe
ndency-type: indirect...Signed-off-by: dependabot[bot]C
o-authored-by: dependabot[bot]
2023-01-26 05:21:12 CTF-Tools Update README.md
2023-01-26 05:21:12 CTF-Tools Update README.md
2023-01-24 19:13:52 APTRS Update FUNDING.yml
2023-01-22 01:31:18 HackBrowserData chore: update contributors [skip ci]

信息收集

资产测绘采集

项目名称 版本 项目描述
InfoSearchAll V1.2 为了方便安全从业人员在使用网络测绘平台进行信息搜集时的效率,本程
序集合了多个网络测绘平台,可以快速在多个网络测绘平台搜索信息并且合
并展示及导出。
ThunderSearch v2.3.2 【支持Fofa、Zoomeye、Quake等网络空间搜索引擎】闪电搜索器;GUI图
形化渗透测试信息搜集工具;资产搜集引擎

子域名收集

项目名称 版本 项目描述
subfinder v2.5.5 Subfinder is a subdomain discovery tool that discovers valid sub
domains for websites. Designed as a passive framework to be usefu
l for bug bounties and safe for penetration testing.
ksubdomain v0.7 无状态子域名爆破工具
OneForAll v0.4.5 OneForAll是一款功能强大的子域收集工具
LangSrcCurise SRC子域名资产监控
github-subdomains v1.2.2 Find subdomains on GitHub.
LayerDomainFinder 3 Layer子域名挖掘机
dnsub v2.1 dnsub一款好用且强大的子域名扫描工具
ksubdomain v1.9.5 Subdomain enumeration tool, asynchronous dns packets, use pcap t
o scan 1600,000 subdomains in 1 second
ct v1.0.9 简单易用的域名爆破工具

目录扫描

项目名称 版本 项目描述
dirsearch v0.4.3 Web path scanner
URLFinder 2023.2.3 类似JSFinder的golang实现,一款用于快速提取检测页面中JS与URL的工
具,更快更全更舒服
feroxbuster v2.7.3 A fast, simple, recursive content discovery tool written in Rust
.
ffuf v2.0.0 Fast web fuzzer written in Go
dirmap An advanced web directory & file scanning tool that will be more
powerful than DirBuster, Dirsearch, cansina, and Yu Jian.一个高
级web目录、文件扫描工具,功能将会强于DirBuster、Dirsearch、cansina
、御剑。
cansina 1.0.0 Web Content Discovery Tool
urlbrute v1.0.2 Directory/Subdomain scanner developed in GoLang.
yjdirscan yjdirscan 御剑目录扫描专业版,简单实用的命令行网站目录扫描工具,支持爬虫、
fuzz、自定义字典、字典变量、UA修改、假404自动过滤、扫描控速等功能
yuhScan v1.0 web目录快速扫描工具
gospider v1.1.6 Gospider - Fast web spider written in Go
rad 0.4

指纹识别

项目名称 版本 项目描述
EHole 3.0 EHole(棱洞)3.0 重构版-红队重点攻击系统指纹探测工具
Glass Glass是一款针对资产列表的快速指纹识别工具,通过调用Fofa/ZoomEye/
Shodan/360等api接口快速查询资产信息并识别重点资产的指纹,也可针对
IP/IP段或资产列表进行快速的指纹识别。

端口扫描

项目名称 版本 项目描述
TXPortMap v1.1.2 Port Scanner & Banner Identify From TianXiang
naabu v2.1.1 A fast port scanner written in go with a focus on reliability an
d simplicity. Designed to be used in combination with other tools
for attack surface discovery in bug bounties and pentests
scaninfo v1.1.0 fast scan for redtools

综合

项目名称 版本 项目描述
dismap v0.4 Asset discovery and identification tools 快速识别 Web 指纹信息,
定位资产类型。辅助红队快速定位目标资产信息,辅助蓝队发现疑似脆弱点

自动化信息收集

项目名称 版本 项目描述
H H是一款强大的资产收集管理平台
X-Marshal Golang-分布式资产探测&漏洞扫描&信息收集
heartsk_community LOWBUG@La
test
Hearts K-企业资产发现与脆弱性检查工具,自动化资产信息收集与漏洞
扫描
AnScan AnScan是一款集合信息收集、分布式漏洞扫描、漏洞POC管理等为一体的
红队扫描工具
nemo_go v2.8.3 Nemo是用来进行自动化信息收集的一个简单平台,通过集成常用的信息收
集工具和技术,实现对内网及互联网资产信息的自动收集,提高隐患排查和
渗透测试的工作效率,用Go语言完全重构了原Python版本。
rengine v1.3.5 reNgine is an automated reconnaissance framework for web applica
tions with a focus on highly configurable streamlined recon proce
ss via Engines, recon data correlation and organization, continuo
us monitoring, backed by a database, and simple yet intuitive Use
r Interface. reNgine makes it easy for penetration testers to gat
her reconnaissance with minimal configuration and with the help o
f reNgine's correlation, it just makes recon effortless.
ShuiZe_0x727 v1.0 信息收集自动化工具
DBJ 大宝剑-边界资产梳理工具(红队、蓝队、企业组织架构、子域名、Web资
产梳理、Web指纹识别、ICON_Hash资产匹配)
Voyager 一个安全工具集合平台,用来提高乙方安全人员的工作效率,请勿用于非
法项目
GoScan GoScan是采用Golang语言编写的一款分布式综合资产管理系统,适合红队
、SRC等使用
Autoscanner v1.2.1 输入域名>爆破子域名>扫描子域名端口>发现扫描web服务>集成报告的全
流程全自动扫描器。集成oneforall、masscan、nmap、dirsearch、crawler
go、xray等工具,另支持cdn识别、网页截图、站点定位;动态识别域名并
添加功能、工具超时中断等
MagiCude v2.1 分布式端口(漏洞)扫描、资产安全管理、实时威胁监控与通知、高效漏
洞闭环、漏洞wiki、邮件报告通知、poc框架
Watchdog Watchdog是bayonet修改版,重新优化了数据库及web及扫描程序,加入多
节点
Tide 目前实现了网络空间资产探测、指纹检索、漏洞检测、漏洞全生命周期管
理、poc定向检测、暗链检测、挂马监测、敏感字检测、DNS监测、网站可用
性监测、漏洞库管理、安全预警等等~
ARL v2.5.3 ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察
与目标关联的互联网资产,构建基础资产信息库。 协助甲方安全团队或者
渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
linglong 一款甲方资产巡航扫描系统。系统定位是发现资产,进行端口爆破。帮助
企业更快发现弱口令问题。主要功能包括: 资产探测、端口爆破、定时任务
、管理后台识别、报表展示
sec-admin 分布式资产安全扫描核心管理系统(弱口令扫描,漏洞扫描)
linbing v3.0 本系统是对Web中间件和Web框架进行自动化渗透的一个系统,根据扫描选
项去自动化收集资产,然后进行POC扫描,POC扫描时会根据指纹选择POC插件
去扫描,POC插件扫描用异步方式扫描.前端采用vue技术,后端采用python fa
stapi.
Vulcan VulCan资产管理系统
bayonet v1.1 bayonet是一款src资产管理系统,从子域名、端口服务、漏洞、爬虫等一
体化的资产管理系统
fuxi Penetration Testing Platform
WebScan 正在写的一个资产管理和扫描相结合的分布式扫描器
xunfeng v0.1.1 巡风是一款适用于企业内网的漏洞快速应急,巡航扫描系统。
AppInfoScanner V1.0.9_Re
leases
一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS
、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击
队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并
提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。

企业信息收集

项目名称 版本 项目描述
ENScan_GO V0.0.9 一款基于各大企业信息API的工具,解决在遇到的各种针对国内企业信息
收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚
合导出。

漏洞发现&利用

半自动化漏洞利用

项目名称 版本 项目描述
railgun v1.5.2
Goby Beta2.2.0 Attack surface mapping

半自动漏洞扫描

项目名称 版本 项目描述
EasyPen EasyPen is a GUI program which helps pentesters do target discov
ery, vulnerability scan and exploitation
xray 1.9.4 一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 poc
w13scan Passive Security Scanner (被动式安全扫描器)
Fvuln Fvuln_v1.
4.8
F-vuln(全称:Find-Vulnerability)是为了自己工作方便专门编写的一
款自动化工具,主要适用于日常安全服务、渗透测试人员和RedTeam红队人
员,它集合的功能包括:存活IP探测、开放端口探测、web服务探测、web漏
洞扫描、smb爆破、ssh爆破、ftp爆破、mssql爆破等其他数据库爆破工作以
及大量web漏洞检测模块。
nuclei v2.8.9 Fast and customizable vulnerability scanner based on simple YAML
based DSL.
afrog v2.2.1 A Vulnerability Scanning Tools For Penetration Testing
vulmap v0.9 Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描,
并且具备漏洞验证功能
POC-bomber v2.0.2-PO
C-bomber
利用大量高威胁poc/exp快速获取目标权限,用于渗透和红队快速打点
QingTing v0.3 蜻蜓安全一个安全工具编排平台,可以自由编排你的工具流,集成108款工
具,包括xray、nmap、awvs等;你可以将喜欢的工具编排成一个场景,快速打
造适合自己的安全工作台~
myscan myscan被动扫描

漏洞扫描框架

项目名称 版本 项目描述
pocsuite3 v2.0.2 pocsuite3 is an open-sourced remote vulnerability testing framew
ork developed by the Knownsec 404 Team.
Godscan Godscan Godscan 是一款python编写的具有图形化界面的漏洞检测框架,可以之定
义漏洞检测 poc ,主要是帮助安全测试者,更好的去记录和整理历史漏洞
,以便更好的进行漏洞检测,提高工作效率!
FrameScan-GUI v1.4.2 FrameScan-GUI 一款python3和Pyqt编写的具有图形化界面的cms漏洞检测
框架。
Gr33k 图形化漏洞利用集成工具
kunpeng 20190527 kunpeng是一个Golang编写的开源POC框架/库,以动态链接库的形式提供
各种语言调用,通过此项目可快速开发漏洞检测类的系统。
pocassist 1.0.5 全新的漏洞测试框架,支持poc在线编辑、运行、批量测试。使用文档:

数据库利用

项目名称 版本 项目描述
MDUT v2.1.1 MDUT - Multiple Database Utilization Tools
SharpSQLTools 41 SharpSQLTools 和@Rcoil一起写的小工具,可上传下载文件,xp_cmdshel
l与sp_oacreate执行命令回显和clr加载程序集执行相应操作。
mssqlproxy 0.1 mssqlproxy is a toolkit aimed to perform lateral movement in res
tricted environments through a compromised Microsoft SQL Server v
ia socket reuse
odat 5.1.1 ODAT: Oracle Database Attacking Tool
redis-rogue-server Redis(<=5.0.5) RCE
redis-rce Redis 4.x/5.x RCE
RedisEXP Redis 漏洞利用工具
redis_rce v0.1.0 Redis primary/secondary replication RCE
RequestTemplate v1.1.2 双语双端内网扫描以及验证工具
redis-rogue-server Redis 4.x/5.x RCE

Shell管理

项目名称 版本 项目描述
Behinder Behinder_
v4.0.6
“冰蝎”动态二进制加密网站管理客户端
Godzilla v4.0.1-go
dzilla
哥斯拉
antSword 2.1.15 **蚁剑是一款跨平台的开源网站管理工具。AntSword is a cross-plat
form website management toolkit.
Platypus v1.5.0 🔨 A modern multiple reverse shell sessions manager writte
n in go
As-Exploits **蚁剑后渗透框架

中间件&框架漏洞利用

项目名称 版本 项目描述
AttackTomcat V1 Tomcat常见漏洞GUI利用工具。CVE-2017-12615 PUT文件上传漏洞、tomca
t-pass-getshell 弱认证部署war包、弱口令爆破、CVE-2020-1938 Tomcat
AJP文件读取/包含
SpringExploit 0.1.9 🚀 一款为了学习go而诞生的漏洞利用工具
shiro_rce_tool shiro 反序列 命令执行辅助检测工具
ShiroAttack2 4.5.6 shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)修复原
版中NoCC的问题 https://github.com/j1anFen/shiro_attack
shiro_attack 2.2 shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)
FastjsonExploit Fastjson vulnerability quickly exploits the framework(fastjson
漏洞快速利用框架)
fastjson_rec_exploi
t
fastjson一键命令执行
jexboss JexBoss: Jboss (and Java Deserialization Vulnerabilities) verify
and EXploitation Tool
weblogic-framework v0.2.3 weblogic-framework is the best tool for detecting weblogic vulne
rabilities.
dubbo-exp dubbo学习demo,之前删了,重新上传。
STS2G 1.0 Struts2漏洞扫描利用工具 - Golang版. Struts2 Scanner Written in G
olang
Struts2-Scan Struts2全漏洞扫描利用工具
log4j-shell-poc A Proof-Of-Concept for the CVE-2021-44228 vulnerability.
SpringBootExploit 1.3 项目是根据LandGrey/SpringBootVulExploit清单编写,目的hvv期间快速
利用漏洞、降低漏洞利用门槛。
SpringBoot-Scan-GUI v1.2.2

中间件&框架漏洞扫描

项目名称 版本 项目描述
WeblogicScan Weblogic一键漏洞检测工具,V1.5,更新时间:20200730
weblogic-infodetect
or
0.2.4 woodpecker框架weblogic信息探测插件
Jiraffe v2.0.6 One stop place for exploiting Jira instances in your proximity
Artillery v1.0_2022
0519
JAVA 插件化漏洞扫描器,Gui基于javafx。POC 目前集成 Weblogic、Tom
cat、Shiro、Spring等。

漏洞利用辅助

项目名称 版本 项目描述
jndi_tool JNDI服务利用工具 RMI/LDAP,支持部分场景回显、内存shell,高版本JD
K场景下利用等,fastjson rce命令执行,log4j rce命令执行 漏洞检测辅
助工具
ysoserial v0.0.6 A proof-of-concept tool for generating payloads that exploit uns
afe Java object deserialization.
Gopherus This tool generates gopher link for exploiting SSRF and gaining
RCE in various servers
revsuit v0.5.2 RevSuit is a flexible and powerful reverse connection platform d
esigned for receiving connection from target host in penetration.
DNSlog-GO 1.5.2 DNSLog-GO 是一款golang编写的监控 DNS 解析记录的工具,自带WEB界面
godnslog v0.7.0 An exquisite dns&http log server for verify SSRF/XXE/RFI/RCE vul
nerability
ysomap v0.1.3 A helpful Java Deserialization exploit framework.
Antenna v1.2.1 Antenna是58同城安全团队打造的一款辅助安全从业人员验证网络中多种
漏洞是否存在以及可利用性的工具。其基于带外应用安全测试(OAST)通过任
务的形式,将不同漏洞场景检测能力通过插件的形式进行集合,通过与目标
进行out-bind的数据通信方式进行辅助检测。
cola_dnslog v1.3.2 Cola Dnslog v1.3.2 更加强大的dnslog平台/无回显漏洞探测辅助平台
完全开源 dnslog httplog ldaplog rmilog 支持dns http ldap rmi等协议
提供API调用方式便于与其他工具结合 支持钉钉机器人、Bark等提醒 支
持docker一键部署 后端完全使用python实现 前端基于vue-element-admin
二开
ddddocr 带带弟弟 通用验证码识别OCR pypi版
ysoserial v1.3 ysoserial for su18

重点CMS利用

项目名称 版本 项目描述
OA-EXPTOOL OA-EXPTOO
L-v0.7
OA综合利用工具,集合将近20款OA漏洞批量扫描
seeyon_exp 致远OA综合利用工具
SeeyonExploit-GUI 致远OA综合利用工具V1.0
TDOA_RCE v1.0 通达OA综合利用工具
LandrayExploit 1.1 蓝凌OA漏洞利用工具/前台无条件RCE/文件写入
weaver_exp 泛微OA漏洞综合利用脚本
EgGateWayGetShell Code By:Tas9er
CMSmap CMSmap is a python open source CMS scanner that automates the pr
ocess of detecting security flaws of the most popular CMSs.
wprecon
wordpress-exploit-f
ramework
v2.0.1 A Ruby framework designed to aid in the penetration testing of W
ordPress systems.
wpscan v3.8.22 WPScan WordPress security scanner. Written for security professi
onals and blog maintainers to test the security of their WordPres
s websites.
wprecon 2.4.5 WPRecon, is a tool for the recognition of vulnerabilities and bl
ackbox information for wordpress.
Aazhen-RexHa Aazhen-Re
xHa_Scanne
r
自研JavaFX图形化漏洞扫描工具,支持扫描的漏洞分别是: ThinkPHP-2.
x-RCE, ThinkPHP-5.0.23-RCE, ThinkPHP5.0.x-5.0.23通杀RCE, Think
PHP5-SQL注入&敏感信息泄露, ThinkPHP 3.x 日志泄露NO.1, ThinkPHP
3.x 日志泄露NO.2, ThinkPHP 5.x 数据库信息泄露的漏洞检测,以及批
量检测的功能。漏洞POC基本适用ThinkPHP全版本漏洞。
ThinkphpGUI 1.3 Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,getsh
ell。
thinkphp_gui_tools v2.4.2 ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批
量检测, 日志遍历, session包含,宝塔绕过
Apt_t00ls v0.5 高危漏洞利用工具

信息泄露利用

项目名称 版本 项目描述
Cloud-Bucket-Leak-D
etection-Tools
v0.4.0 六大云存储,泄露利用检测工具
aksk_tool AK资源管理工具,阿里云/腾讯云/华为云/AWS/UCLOUD/京东云/七牛云存
储AccessKey AccessKeySecret,利用AK获取资源信息和操作资源,ECS/CVM
/E2/UHOST/ECI执行命令,OSS/COS/S3管理,RDS/DB管理,域名管理,添加
RAM/CAM/IAM账号等
swagger-exp A Swagger API Exploit
swagger-hack 自动化爬取并自动测试所有swagger接口
heapdump_tool heapdump敏感信息查询工具,例如查找 spring heapdump中的密码明文,
AK,SK等
Packer-Fuzzer v1.4 Packer Fuzzer is a fast and efficient scanner for security detec
tion of websites constructed by javascript module bundler such as
Webpack.
GitHack .git 泄漏利用工具,可还原历史版本
dvcs-ripper Rip web accessible (distributed) version control systems: SVN/GI
T/HG...
ds_store_exp A .DS_Store file disclosure exploit.It parses .DS_Store file and
downloads files recursively.
svnExploit SvnExploit支持SVN源代码泄露全版本Dump源码
git-dumper A tool to dump a git repository from a website
GitDorker A Python program to scrape secrets from GitHub through usage of
a large repository of dorks.
SecretFinder SecretFinder - A python script for find sensitive data (apikeys,
accesstoken,jwt,..) and search anything on javascript files
JSFScan.sh Automation for javascript recon in bug bounty.
SubOver v1.2 A Powerful Subdomain Takeover Tool
JDumpSpider HeapDump敏感信息提取工具

口令爆破

项目名称 版本 项目描述
goon v3.5 goon,集合了fscan和kscan等优秀工具功能的扫描爆破工具。功能包含:i
p探活、port扫描、web指纹扫描、title扫描、压缩文件扫描、fofa获取、
ms17010、mssql、mysql、postgres、redis、ssh、smb、rdp、telnet、to
mcat等爆破以及如netbios探测等功能。
SNETCracker 1.0.20190
715
超级弱口令检查工具是一款Windows平台的弱口令审计工具,支持批量多
线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检
查,大大提高成功率,支持自定义服务端口和字典。
web-brutator Fast Modular Web Interfaces Bruteforcer
WebCrack WebCrack是一款web后台弱口令/万能密码批量检测工具,在工具中导入后
台地址即可进行自动化检测。
ssb v0.1.1 Secure Shell Bruteforcer — A faster & simpler way to bruteforce
SSH server

漏洞检测利用仓库

项目名称 版本 项目描述
poc-hub 漏洞复现、漏洞检测、漏洞利用
Awesome-Exploit 一个漏洞利用工具仓库
exphub Exphub[漏洞利用脚本库] 包括Webloigc、Struts2、Tomcat、Nexus、Sol
r、Jboss、Drupal的漏洞利用脚本,最新添加CVE-2020-14882、CVE-2020-
11444、CVE-2020-10204、CVE-2020-10199、CVE-2020-1938、CVE-2020-25
51、CVE-2020-2555、CVE-2020-2883、CVE-2019-17558、CVE-2019-6340
CVE-Master v1.0.1 收集本人自接触渗透测试用于漏洞验证的所有热门CVE、POC、CNVD攻击有
效载荷+测试工具+FUZZ,一个仓库满足许多攻击测试场景,开箱即用.
0day 各种CMS、各种平台、各种系统、各种软件漏洞的EXP、POC ,该项目将持
续更新
PocList Alibaba-Nacos-Unauthorized/ApacheDruid-RCE_CVE-2021-25646/MS-Exc
hange-SSRF-CVE-2021-26885/Oracle-WebLogic-CVE-2021-2109_RCE/RG-CN
VD-2021-14536/RJ-SSL-VPN-UltraVires/Redis-Unauthorized-RCE/TDOA-V
11.7-GetOnlineCookie/VMware-vCenter-GetAnyFile/yongyou-GRP-U8-XXE
/Oracle-WebLogic-CVE-2020-14883/Oracle-WebLogic-CVE-2020-14882/Ap
ache-Solr-GetAnyFile/F5-BIG-IP-CVE-2021-22986/Sonicwall-SSL-VPN-R
CE/GitLab-Graphql-CNVD-2021-14193/D-Link-DCS-CVE-2020-25078/WLAN-
AP-WEA453e-RCE/360TianQing-Unauthorized/360TianQing-SQLinjection/
FanWeiOA-V8-SQLinjection/QiZhiBaoLeiJi-AnyUserLogin/QiAnXin-WangK
angFirewall-RCE/金山-V8-终端安全系统/NCCloud-SQLinjection/ShowDoc
-RCE
vulnerability 收集、整理、修改互联网上公开的漏洞POC
Some-PoC-oR-ExP 各种漏洞poc、Exp的收集或编写
POChouse POC&EXP仓库、hvv弹药库、Nday、1day
PocOrExp_in_Github 聚合Github上已有的Poc或者Exp,CVE信息来自CVE官网。Auto Collect P
oc Or Exp from Github by CVE ID.

漏洞文库

项目名称 版本 项目描述
bylibrary 白阁文库是白泽Sec安全团队维护的一个漏洞POC和EXP公开项目
PeiQi-WIKI-Book PeiQi-WIK
I-Book-202
2-03-20
面向网络安全从业者的知识文库🍃
VulWiki VulWiki
vulbase 各大漏洞文库合集
Awesome-POC 一个各类漏洞POC知识库
Vulnerability-Wiki v1.0 一个综合漏洞知识库,集成了Vulhub、Peiqi、Edge、0sec、Wooyun等开
源漏洞库
yougar0.github.io 漏洞知识库
Vulhub-Reproduce 一个Vulhub漏洞复现知识库
Report_Public DVPNET 公开漏洞知识库
BUG-Pocket 小型漏洞库,提供FOFA语法及批量脚本,具体利用法请参考别的漏洞库,
共4种类型47项
WiKi 稻草人安全团队漏洞库
PoC-ExP 【漏洞Poc知识库】一个网络安全爱好者对网络上一些已知漏洞payload的
收录,持续更新。并编写了利用脚本,可用于日常学习或批量的src漏洞挖

信息泄露监控

项目名称 版本 项目描述
code6 1.6.3 码小六 - GitHub 代码泄露监控系统
gshark v1.1.4 Scan for sensitive information easily and effectively.

windows提权

项目名称 版本 项目描述
BadPotato Windows 权限提升 BadPotato

linux提权

项目名称 版本 项目描述
dirtycow Dirty Cow exploit - CVE-2016-5195

安卓漏洞扫描

项目名称 版本 项目描述
appshark v0.1.2 Appshark is a static taint analysis platform to scan vulnerabili
ties in an Android app.

代码审计

项目名称 版本 项目描述
murphysec v3.0.1 An open source tool focused on software supply chain security.
墨菲安全专注于软件供应链安全,具备专业的软件成分分析(SCA)、漏洞
检测、专业漏洞库。
Kunlun-M v2.6.5 KunLun-M是一个完全开源的静态白盒扫描工具,支持PHP、JavaScript的
语义扫描,基础安全、组件安全扫描,Chrome Ext\Solidity的基础扫描。

容器漏洞扫描

项目名称 版本 项目描述
veinmind-tools v2.0.3 veinmind-tools 是由长亭科技自研,基于 veinmind-sdk 打造的容器安
全工具集

容器漏洞利用

项目名称 版本 项目描述
CDK v1.5.1 📦Make security testing of K8s, Docker, and Containerd easier.

信息泄露漏洞利用

项目名称 版本 项目描述
cf v0.4.4 Cloud Exploitation Framework 云环境利用框架,方便安全人员在获得
AK 的后续工作
Cloud-Bucket-Leak-D
etection-Tools
v0.4.0 六大云存储,泄露利用检测工具

内网渗透

密码提取

项目名称 版本 项目描述
getIntrInfo 收集内部网信息。包括:浏览器书签、密码和浏览历史记录、cookie。Wi
fi信息和密码。主机信息。
FinalShell-Decoder V1.0 FinallShell 密码解密GUI工具
Xdecrypt Xshell Xftp password decrypt
HackBrowserData v0.4.4 Decrypt passwords/cookies/history/bookmarks from the browser. 一
款可全平台运行的浏览器数据导出解密工具。

代理转发

项目名称 版本 项目描述
reGeorg The successor to reDuh, pwn a bastion webserver and create SOCKS
proxies through the DMZ. Pivot and pwn.
Stowaway v2.1 👻Stowaway -- Multi-hop Proxy Tool for pentesters
PortForward 0.5.0 The port forwarding tool developed by Golang solves the problem
that the internal and external networks cannot communicate in cer
tain scenarios

密码读取

项目名称 版本 项目描述
SharpDecryptPwd Windows常用程序密码读取工具:SharpDecryptPwd

漏洞发现

项目名称 版本 项目描述
InScan 边界打点后的自动化渗透工具
kscan v1.85 Kscan是一款纯go开发的全方位扫描器,具备端口扫描、协议检测、指纹
识别,暴力破解等功能。支持协议1200+,协议指纹10000+,应用指纹20000
+,暴力破解协议10余种。
fscan 1.8.2 一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。
Gscan v1.0 Gscan is a high concurrency scanner based on golang

漏洞利用框架

项目名称 版本 项目描述
Viper v1.5.26 Redteam operationplatform with webui 图形化红队行动辅助平台

横向工具

项目名称 版本 项目描述
WMIHACKER A Bypass Anti-virus Software Lateral Movement Command Execution
Tool

免杀

项目名称 版本 项目描述
shellcodeloader v1.1 shellcodeloader

漏洞扫描

项目名称 版本 项目描述
ServerScan v1.0.2 ServerScan一款使用Golang开发的高并发网络扫描、服务探测工具。

相关资源

工具集成环境

项目名称 版本 项目描述
penetration-suite-t
oolkit
v4.0 本项目制作的初衷是帮助渗透新手快速搭建工作环境,工欲善其事,必先
利其器。
CTF-Tools 渊龙Sec安全团队CTF&AWD工具箱
PenKitGui 渗透测试武器库
Taie-RedTeam-OS 泰阿安全实验室-基于XUbuntu私人订制的红蓝对抗渗透操作系统

知识库

项目名称 版本 项目描述
penetration-suite-t
oolkit
v4.0 本项目制作的初衷是帮助渗透新手快速搭建工作环境,工欲善其事,必先
利其器。
Awesome-Redteam 一个红队知识仓库
Threathunting-book Threat hunting Web Windows AD linux ATT&CK TTPs
PenetrationTesttips 渗透测试Tips - Version1.3
Intranet_Penetratio
n_Tips
2018年初整理的一些内网渗透TIPS,后面更新的慢,所以整理出来希望跟
小伙伴们一起更新维护~
Vuln-List (持续更新)对网上出现的各种OA、中间件、CMS等漏洞进行整理,主要包
括漏洞介绍、漏洞影响版本以及漏洞POC/EXP等,并且会持续更新。

优秀项目集合

项目名称 版本 项目描述
404StarLink 404StarLink - 推荐优质、有意义、有趣、坚持维护的安全开源项目
Scanners-Box A powerful and open-source toolkit for hackers and security auto
mation - 安全行业从业者自研开源扫描器合辑
All-Defense-Tool 本项目集成了全网优秀的攻防武器工具项目,包含自动化利用,子域名、
目录扫描、端口扫描等信息收集工具,各大中间件、cms漏洞利用工具,爆
破工具、内网横向及免杀、社工钓鱼以及应急响应等资料。
About-Attack 一个旨在通过应用场景 / 标签对 Github 红队向工具 / 资源进行分类收
集,降低红队技术门槛的手册【持续更新】
RedTeamTools 分享红队常用的工具

代理池

项目名称 版本 项目描述
go_proxy_pool 无环境依赖开箱即用的代理IP池
rotateproxy v0.7.2 利用fofa搜索socks5开放代理进行代理池轮切的工具

工具&插件

Burpsuite

项目名称 版本 项目描述
PowerScanner 1.1.3 面向HW的红队半自动扫描器
RouteVulScan RouteVulS
can1.4
Burpsuite - Route Vulnerable Scanning 递归式被动检测脆弱路径的bu
rp插件
SpringScan V1.7 SpringScan 漏洞检测 Burp插件
BurpSuite-collectio
ns
有关burpsuite的插件(非商店),文章以及使用技巧的收集(此项目不再提
供burpsuite破解文件,如需要请在博客mrxn.net下载)---Collection of bu
rpsuite plugins (non-stores), articles and tips for using Burpsui
te, no crack version file
BurpShiroPassiveSca
n
BurpShiro
PassiveSca
n-2.0.0
一款基于BurpSuite的被动式shiro检测插件
BurpFastJsonScan BurpFastJ
sonScan-2.
2.2
一款基于BurpSuite的被动式FastJson检测插件
HaE 2.4.5 HaE - Highlighter and Extractor, 赋能白帽 高效作战
domain_hunter_pro v1.9-alph
a
domain_hunter的高级版本,SRC挖洞、HW打点之必备!自动化资产收集;
快速Title获取;外部工具联动;等等
Sylas 1.1.1 新一代子域名主/被动收集工具 - Subdomain automatic/passive collec
tion tool
GadgetProbe v1.0 Probe endpoints consuming Java serialized objects to identify cl
asses, libraries, and library versions on remote Java classpaths.
HopLa 1.2 HopLa Burp Suite Extender plugin -Adds autocompletion support a
nd useful payloads in Burp Suite
captcha-killer-modi
fied
0.21-beta captcha-killer的修改版,支持关键词识别base64编码的图片,添加免费
ocr库,用于验证码爆破,适配新版Burpsuite
BurpCrypto BurpCrypto is a collection of burpsuite encryption plug-ins, sup
port AES/RSA/DES/ExecJs(execute JS encryption code in burpsuite).
支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插
autoDecoder 0.22-beta
1
Burp插件,根据自定义来达到对数据包的处理(适用于加解密、爆破等)
,类似mitmproxy,不同点在于经过了burp中转,在自动加解密的基础上,
不影响APP、网站加解密正常逻辑等。
burpFakeIP 1.1 服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件
AutoRepeater Automated HTTP Request Repeating With Burp Suite
http-request-smuggl
er
burp-requests v0.2.4 Copy as requests plugin for Burp Suite
CORSScanner CORS 跨域漏洞 burp 插件
fastjson-exp v1.0.0 fastjson利用,支持tomcat、spring回显,哥斯拉内存马;回显利用链为
dhcp、ibatis、c3p0。
HostHeaderAttack 0.1 检测host头攻击的Burpsuite被动扫描插件,Burpsuite passive scannin
g plugin responsible for detecting host header attack
knife v2.1 A burp extension that add some useful function toContext Menu 添
加一些右键菜单让burp用起来更顺畅
log4j2burpscanner 0.22.0 CVE-2021-44228 Log4j2 BurpSuite Scanner,Customize ceye.io api or
other apis,including internal networks
passive-scan-client 0.3.1 Burp被动扫描流量转发插件
BpScan 1.0.0 一款用于辅助渗透测试工程师日常渗透测试的Burp被动漏扫插件
BurpSuiteCn V2.0 Burp Suite汉化 中文
NEW_xp_CAPTCHA 4.2 xp_CAPTCHA(瞎跑 白嫖版) burp 验证码 识别 burp插件

xray

项目名称 版本 项目描述
yarx v0.2.0 An awesome reverse engine for xray poc.
xray-poc-generation 🧬 辅助生成 XRay YAML POC
super-xray 1.5 Web漏洞扫描工具XRAY的GUI启动器 (Web Vulnerability Scanner GUI St
arter)

pocsuite3

项目名称 版本 项目描述
ExpToPocsuite3 v1.0 goby exp批量转换为pocsuite3 exp脚本

浏览器扩展

项目名称 版本 项目描述
Hack-Tools 0.4.0 The all-in-one Red Team extension for Web Pentester 🛠
SwitchyOmega v2.5.20 Manage and switch between multiple proxies quickly & easily.
untrusted-types 1.1.1
fofa_view v0.0.5 FOFA Pro view 是一款FOFA Pro 资产展示浏览器插件,目前兼容Chrome
、Firefox、Opera。
mitaka v0.93.0 A browser extension for OSINT search
anti-honeypot 一款可以检测WEB蜜罐并阻断请求的Chrome插件
Chromium-based-XSS-
Taint-Tracking
v0.3 Cyclops 是一款具有 XSS 检测功能的浏览器
Zoomeye-Tools Zoomeye Tools是配合Zoomeye使用的Chrome插件
Heimdallr v1.1.3 一款完全被动监听的谷歌插件,用于高危指纹识别、蜜罐特征告警和拦截
、机器特征对抗

pocassist

项目名称 版本 项目描述
pocassistdb 1.0.2 database of pocassist(漏洞库)

goby

项目名称 版本 项目描述
Library-POC 基于Pocsuite3、goby编写的漏洞poc&exp存档

volatility

项目名称 版本 项目描述
tool-for-CTF Virtual machine configuration for CTF

nuclei

项目名称 版本 项目描述
NucleiTP 自动整合全网Nuclei的漏洞POC,实时同步更新最新POC!
nucleix 整合nuclei与xray(社区版、自带高级版),实现被动扫描+poc扫描自动化
渗透流程

nessus

项目名称 版本 项目描述
NessusToReport v1.1.1 Nessus扫描报告自动化生成工具
NessusReportInChine
se
半自动化将 Nessus 英文报告(csv格式)生成中文 excel ,中文漏洞库
已有700多条常见漏洞,后续再进一步加上新漏洞自动翻译,实现全自动化
CN_Nessus_Plugins_I
nterface
1 nessus插件中文查询接口
docker_nessus_unlim
ited
docker build nessus with unlimited ip
nessus_api Nessus REST API 封装

rsas

项目名称 版本 项目描述
nsfocus-rsas-knowle
dge-base
绿盟科技漏洞扫描器(RSAS)漏洞库
RSAS-Data-Export 2022-9-9 绿盟极光远程安全评估系统(RSAS)-RSAS漏洞数据导出工具
RSAS-Task-Release v1.0 绿盟极光远程安全评估系统(RSAS)-RSAS批量下任务工具

arl

项目名称 版本 项目描述
ARL-Finger-ADD 灯塔(最新版)指纹添加脚本!

cobaltstrike

项目名称 版本 项目描述
taowu-cobalt-strike
geacon_pro geacon_pr
o_v1.3
跨平台重构了Cobaltstrike Beacon,适配了大部分Beacon的功能,行为
对国内主流杀软免杀,支持4.1以上的版本。 A cross-platform CobaltStr
ike Beacon bypass anti-virus, supports 4.1+ version.

ZoomEye

项目名称 版本 项目描述
Kunyu v1.7.2 Kunyu, more efficient corporate asset collection
ZoomEye-python v2.1.2 ZoomEye-python: The official Python library and CLI by Knownsec
404 Team.
ZoomEye-go v1.5 The Golang SDK and CLI of ZoomEye@Knownsec by gyyyy.

frida

项目名称 版本 项目描述
frida-skeleton v2.0.0 基于frida的安卓hook框架,提供了很多frida自身不支持的功能,将hook
安卓变成简单便捷,人人都会的事情

CTF杂项

图片隐写

项目名称 版本 项目描述
stegsolve v1.4
BlindWatermark v0.0.3 Java 盲水印
cloacked-pixel LSB steganography and detection
CTFpics 用于自动化检测CTF中常出现得工具图片隐写题目
ImageStrike V0.2 ImageStrike是一款用于CTF中图片隐写的综合利用工具

流量分析

项目名称 版本 项目描述
UsbMiceDataHacker USB鼠标流量包取证工具 , 主要用于绘制鼠标移动以及拖动轨迹
UsbKeyboardDataHack
er
USB键盘流量包取证工具 , 用于恢复用户的击键信息

编码解码

项目名称 版本 项目描述
TomatoTools v1.0.2 TomatoTools 一款CTF杂项利器,支持36种常见编码和密码算法的加密和
解密,31种密文的分析和识别,支持自动提取flag,自定义插件等。
CyberChef v9.55.0 The Cyber Swiss Army Knife - a web app for encryption, encoding,
compression and data analysis

取证分析

项目名称 版本 项目描述
pyvmx-cracker Simple tool to crack VMware VMX encryption passwords
chatViewTool BEAT 基于Java实现的图形化微信聊天记录解密查看器
Sharp-dumpkey 1 基于C#实现的获取微信数据库密钥的小工具
Sunflower_get_Passw
ord
一款针对向日葵的识别码和验证码提取工具
SharpWxDump 微信客户端取证,可获取用户个人信息(昵称/账号/手机/邮箱/数据库密
钥(用来解密聊天记录));支持获取多用户信息,不定期更新新版本偏移,
目前支持所有新版本、正式版本

音频隐写

项目名称 版本 项目描述
dtmf-decoder Extract phone numbers from an audio recording of the dial tones.

文件分离

项目名称 版本 项目描述
BlindWaterMark 盲水印 by python

压缩文件分析

项目名称 版本 项目描述
CRC32-Tools 2.2 Easy CRC32 Tools,so easy!!!

CTF综合

知识库

项目名称 版本 项目描述
CTF-Note CTF笔记:该项目主要记录CTF知识、刷题记录、工具等。

工具集

项目名称 版本 项目描述
CTF-Tools 渊龙Sec安全团队CTF&AWD工具箱
qsnctf-python 青少年CTF的Python包,方便大家调用一些CTF常用功能。
CTF-Tools v1.3.7 一款Python+Pyqt写的CTF编码、解码、加密、解密工具。

CTF逆向

pyc逆向

项目名称 版本 项目描述
stegosaurus 1.0 A steganography tool for embedding payloads within Python byteco
de.

Java反编译

项目名称 版本 项目描述
JavaDecompileTool-G
UI
V1.2 Java Decompile Tool GUI-JAVA反编译工具(界面版)
CodeReviewTools v1.31 通过正则搜索、批量反编译特定Jar包中的class名称

CTFWEB

敏感目录

项目名称 版本 项目描述
ctf-wscan 在kingkaki的项目上进行了修改,改为单线程,可以在任意目录下执行,
对重复的请求进行了过滤
scrabble Simple tool to recover .git folder from remote server

CTF密码学

RSA

项目名称 版本 项目描述
rsa-wiener-attack A Python implementation of the Wiener attack on RSA public-key e
ncryption scheme.
RSA
RsaCtfTool RSA attack tool (mainly for ctf) - retreive private key from wea
k public key and/or uncipher data

应急响应

web日志分析

项目名称 版本 项目描述
DecodeSomeJSPWebshe
ll
v1.2 冰蝎、哥斯拉 jsp webshell通信流量解密器

其他

其他

项目名称 版本 项目描述
faker v17.0.0 Faker is a Python package that generates fake data for you.
SmsForwarder v3.2.0 短信转发器——监控Android手机短信、来电、APP通知,并根据指定规则
转发到其他手机:钉钉群自定义机器人、钉钉企业内机器人、企业微信群机
器人、飞书机器人、企业微信应用消息、邮箱、bark、webhook、Telegram
机器人、Server酱、PushPlus、手机短信等。包括主动控制服务端与客户端
,让你轻松远程发短信、查短信、查通话、查话簿、查电量等。(V3.0 新
增)PS.这个APK主要是学习与自用,如有BUG请提ISSUE,同时欢迎大家提PR
指正
dbeaver 22.3.5 Free universal database tool and SQL client
MySQLMonitor 1.0 MySQL实时监控工具(代码审计/黑盒/白盒审计辅助工具)

渗透测试报告辅助

项目名称 版本 项目描述
APTRS 0.1 Automated Penetration Testing Reporting System
BugRepoter_0x727 BugRepoter_0x727(自动化编写报告平台)根据安全团队定制化协同管理项
目安全,可快速查找历史漏洞,批量导出报告。

安全产品

威胁检测

项目名称 版本 项目描述
RmEye v0.0.4 戎码之眼是一个window上的基于att&ck模型的威胁监控工具.有效检测常
见的未知威胁与已知威胁.防守方的利剑

主机入侵检测

项目名称 版本 项目描述
Elkeid rasp-v2.1
.0.8-pre
Elkeid is an open source solution that can meet the security req
uirements of various workloads such as hosts, containers and K8s,
and serverless. It is derived from ByteDance's internal best pra
ctices.
Hades Hades is an cross-platform HIDS with kernel-space data collectio
n.

Web应用防火墙

项目名称 版本 项目描述
openstar lua waf,nginx+lua,openresty,luajit,waf+,cdn,nginx

欺骗防御

项目名称 版本 项目描述
Juggler A system that may trick hackers.针对黑客的拟态欺骗系统。
MySQL_Fake_Server MySQL Fake Server use to help MySQL Client File Reading and JDBC
Client Java Deserialize
MysqlT v1.0 伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻
击者

应急工具

后门查杀

项目名称 版本 项目描述
RmTools 蓝队应急工具