Webshell-Sniper介绍Webshell-Sniper是一款使用Python编写的基于终端的Webshell​​管理器，和以往我们分享的Webshell管理工具有所不同，所有操作都在终端中完成。使用它可对您的网站进行远程管理。虽然它没有图形化的GUI也没有WEB界面，但这样的操作也是另有一翻感觉。功能基于终端的shell交互反向连接shell（这就能做非常多的事了）数据库管理Webshe…

nps介绍nps是一款轻量级、高性能、功能强大的内网穿透反向代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。nps控制台可用于做微信公众号开发、小程序开发等---->域名代…

分块传输本插件主要用于Burpsuite分块传输过WAF。Chunk分块传输方法是一种有效的绕过WAF的Web攻击手段。其原理是利用Transfer-Encoding:chunked这个HTTP请求头，当HTTP请求中含有这个请求头时，则传输的数据全部可进行分块编码。Burpsuite分块传输下载https://github.com/c0ny1/chunked-coding-converter编译…

xwafxwaf是一个python3写的waf自动绕过工具，上一个版本是bypass_waf，xwaf相比bypass_waf更智能，可无人干预，可自动暴破过waf。代码流程图功能特点xwaf支持记忆,运行中断后下次继续运行时会在中断时的最后一个命令附近继续跑,不会重新经历上面的所有函数的处理xwaf支持sqlmap除-m/-l外的所有参数用法各个get_xxx_need_tamper函数的处理采…

TheFatRat介绍TheFatRat是一个可以生成跨平台反弹shell后门的工具，如exe、apk、macho、php、py、sh等。编译后的恶意脚本可以在windows，android，mac上执行。同时用TheFatRat创建的后门能够绕过大多数杀毒软件的保护，俗称过waf。TheFatRat截图TheFatRat主界面TheFatRat创建后门TheFatRat设置后门信息TheFatR…

XSStrike高级XSS检测套件XSStrike是一个XSS脚本探测套件，配备了4个手写解析器，一个智能payloads生成器，一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处，但又有明显的区别。XSStrike不像其他工具那样注入XSS并检查它，XSStrike使用多个解析器分析响应，然后通过与fuzzing引擎集成的上下文分析来保证payloads的工作。下面是XSStr…

Charles这个抓包神器相信玩渗透测试的小伙伴基本都认识，今天分享一个可破解charles最新版的工具。有经济条件的同学还是建议买正版：Charles破解许可价格1-4UserLicensesUSD$30/license5+UserLicensesUSD$27/license(10%discount)10+UserLicensesUSD$24/license(20%discount)SiteLi…

XSS'ORV2XSS'ORV2是一款免费开源的XSS黑客工具，是XSS'OR的升级版本。它包含三个主要模块：Encode/Decode，Codz，Probe，即编码/解码，代码，探针功能。编码/解码模块代码模块XSS'OR探测模块编码/解码模块前端加密与解密；代码压缩、解压缩、美化、执行测试；字符集转换，哈希生成；其他代码模块CSRF请求代码生成；AJAX请求代码生成；XSS攻击向量；XSS攻击…

Vxscan介绍python3写的综合扫描工具，主要用来敏感文件探测(目录扫描与js泄露接口)，WAF/CDN识别，端口扫描，指纹/服务识别，操作系统识别，弱口令探测，POC扫描，SQL注入，绕过CDN，查询旁站等功能，主要用来甲方自测或乙方授权测试，请勿用来搞破坏。Vxscan扫描界面看到上面的介绍也吓一跳，这么多功能？但是依赖也多呀：Pythonversion>3.6requeststqdmp…

JSFinder介绍JSFinder是一款用作快速在网站的js文件中提取URL，子域名的脚本工具。支持用法简单爬取深度爬取批量指定URL/指定JS其他参数以往我们子域名多数使用爆破或DNS中获得，这个脚本从JS文件中匹配出子域也算是添砖加瓦。简单爬取示例子域名清单https://github.com/Threezh1/JSFinder