Z-Godzilla_ekp哥斯拉webshell二次开发规避流量检测设备二开详细教程在微信公众号：艾克sec目前测了国内两安全厂商的态感，连接和执行命令无任何告警现在改了php和java的，后续尽快新增net的java，net，php流量修改已经全部支持，以后还会集成一键免杀功能和一些插件觉得好用的师傅点点star～(更新的动力！！！)流量修改效果phpxorbase64流量修改前修改后配合40…

注意：项目中大部分文件是绝对路径，需要跟batch_scan_domain配合使用，将2个项目部署到服务器/TIP/目录下！！！项目中大部分文件是绝对路径，需要跟batch_scan_domain配合使用，将2个项目部署到服务器/TIP/目录下！！！项目中大部分文件是绝对路径，需要跟batch_scan_domain配合使用，将2个项目部署到服务器/TIP/目录下！！！项目启动文件scan_mai…

Fiora项目简介：Fiora是LoL中的无双剑姬的名字，她善于发现对手防守弱点，实现精准打击。该项目为PoC框架nuclei提供图形界面，实现快速搜索、一键运行等功能，提升nuclei的使用体验。项目地址：https://github.com/bit4woo/Fiora项目作者：bit4woo视频教程：https://www.bilibili.com/video/bv1Ha411z7T1安装运行…

项目介绍平时工作中用到的安全工具链接，方便用的时候查找。持续更新，欢迎Star。项目介绍平时工作中用到的安全工具链接，方便用的时候查找。持续更新，欢迎Star。BurpSuite插件汇总TsojanScan：一个集成的BurpSuite漏洞探测插件，它会以最少的数据包请求来准确检测各漏洞存在与否，你只需要这一个足矣。JsRouteScan：正则匹配获取响应中的路由进行探测或递归目录探测的burp插…

Google_searchurl用于爬取谷歌关键词搜索的url，便于红队，src等快速提取使用方式：源码直接运行需要解决：go的环境，当出现下面的报错go:go.modfilenotfoundincurrentdirectoryoranyparentdirectory;see'gohelpmodules'运行：goenv-wGO111MODULE=ongomodinitxxx//xxx代表文件名可…

deswing这是一个Java反序列化工具集成ysoserial，一键生成并导出反序列化利用连payload。推荐运行环境：Java1.8-Java11经测试不支持Java17+

基于OPSEC的CobaltStrike后渗透自动化链本项目结合LSTAR-CobaltStrike综合后渗透插件一起使用更佳：https://github.com/lintstar/LSTAR?项目简介在攻防实战中发现存在以下困境：鱼叉式水坑、社工钓鱼以及威胁猎捕场景下上线时间不可控，且无法二十四小时守在电脑附近，同时常见的自动权限维持插件需要提前在目标机器放置木马，并且存在维权上线然后重复维权…

frpCracker一款golang编写的，批量检测frpserver未授权访问、弱token的工具使用说明将要检测的目标放入target.txt，如127.0.0.1:7000检测的弱口令放入token.txt，一行一个./frpCracker-ltarget.txt-tltoken.txt若不指定-tl参数，则为检测未授权访问./frpCracker-ltarget.txt完整参数Usageo…

工具简介特点自动识别输入类型，无需手动分类便于拓展的主动/被动指纹识别指纹支持复杂与/或/非/括号逻辑运算。人类友好。Nucleiv3支持便于拓展的指纹漏洞映射数据库，尽量避免无效发包高效的子域名枚举/爆破，精准的泛解析过滤Hunter、Fofa、Quake支持Hunter低感知模式低依赖，多系统开箱即用高效的HTML报表，包含漏洞请求响应审计日志，敏感环境必备快速开始安装Release中下载co…

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，通过该Burp插件我们可以：1、发现通过某接口可以进行未授权/越权获取到所有的账号密码、私钥、凭证2、发现通过某接口可以枚举用户信息、密码修改、用户创建接口3、发现登陆后台网址4、发现在html、JS中泄漏账号密码或者云主机的AccessKey和SecretKey...功能如下如果有…