xwafxwaf是一个python3写的waf自动绕过工具，上一个版本是bypass_waf，xwaf相比bypass_waf更智能，可无人干预，可自动暴破过waf。代码流程图功能特点xwaf支持记忆,运行中断后下次继续运行时会在中断时的最后一个命令附近继续跑,不会重新经历上面的所有函数的处理xwaf支持sqlmap除-m/-l外的所有参数用法各个get_xxx_need_tamper函数的处理采…

TheFatRat介绍TheFatRat是一个可以生成跨平台反弹shell后门的工具，如exe、apk、macho、php、py、sh等。编译后的恶意脚本可以在windows，android，mac上执行。同时用TheFatRat创建的后门能够绕过大多数杀毒软件的保护，俗称过waf。TheFatRat截图TheFatRat主界面TheFatRat创建后门TheFatRat设置后门信息TheFatR…

XSStrike高级XSS检测套件XSStrike是一个XSS脚本探测套件，配备了4个手写解析器，一个智能payloads生成器，一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处，但又有明显的区别。XSStrike不像其他工具那样注入XSS并检查它，XSStrike使用多个解析器分析响应，然后通过与fuzzing引擎集成的上下文分析来保证payloads的工作。下面是XSStr…

Vxscan介绍python3写的综合扫描工具，主要用来敏感文件探测(目录扫描与js泄露接口)，WAF/CDN识别，端口扫描，指纹/服务识别，操作系统识别，弱口令探测，POC扫描，SQL注入，绕过CDN，查询旁站等功能，主要用来甲方自测或乙方授权测试，请勿用来搞破坏。Vxscan扫描界面看到上面的介绍也吓一跳，这么多功能？但是依赖也多呀：Pythonversion>3.6requeststqdmp…

PHP反序列化介绍在PHP进行反序列化时，会将序列化中的变量传入类中，并且调用__destuct等魔法函数。巧妙应用可达到免杀D盾，过安全狗等WAF软件的效果。TestCode1:输出:xxxxO:1:"A":1:{s:4:"name";s:4:"xxxx";}TestCode2:

CaidaoMitmProxy基于HTTP代理中转中国菜刀过WAF,基于菜刀20160622版本修改和测试。理论上是支持低版本菜刀。本人没测试希望大家来帮忙测试下。安装pip[3]installpydespip[3]installmitmproxy使用替换caidao.conf文件(使用PHPDES加密脚本的时候才需要替换)将支持DES加密的 Webshell 上传到服务器的W…