-
GitHack – 一个.git泄露利用脚本
GitHack当前大量开发人员使用git进行版本控制,对站点自动部署。 如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。GitHack原理解析.git/index文件,找到工… -
Webshell-Sniper 基于终端的Webshell管理器
Webshell-Sniper介绍Webshell-Sniper是一款使用Python编写的基于终端的Webshell管理器,和以往我们分享的Webshell管理工具有所不同,所有操作都在终端中完成。使用它可对您的网站进行远程管理。虽然它没有图形化的GUI也没有WEB界面,但这样的操作也是另有一翻感觉。功能基于终端的shell交互反向连接shell(这就能做非常多的事了)数据库管理Webshe… -
nps:一款功能强大的内网穿透反向代理工具
nps介绍nps是一款轻量级、高性能、功能强大的内网穿透反向代理服务器。目前支持tcp、udp流量转发,可支持任何tcp、udp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析等等……),此外还支持内网http代理、内网socks5代理、p2p等,并带有功能强大的web管理端。nps控制台可用于做微信公众号开发、小程序开发等---->域名代… -
Burp suite分块传输插件
分块传输本插件主要用于Burpsuite分块传输过WAF。Chunk分块传输方法是一种有效的绕过WAF的Web攻击手段。其原理是利用Transfer-Encoding:chunked这个HTTP请求头,当HTTP请求中含有这个请求头时,则传输的数据全部可进行分块编码。Burpsuite分块传输下载https://github.com/c0ny1/chunked-coding-converter编译… -
xwaf – 自动绕过waf工具
xwafxwaf是一个python3写的waf自动绕过工具,上一个版本是bypass_waf,xwaf相比bypass_waf更智能,可无人干预,可自动暴破过waf。代码流程图功能特点xwaf支持记忆,运行中断后下次继续运行时会在中断时的最后一个命令附近继续跑,不会重新经历上面的所有函数的处理xwaf支持sqlmap除-m/-l外的所有参数用法各个get_xxx_need_tamper函数的处理采… -
TheFatRat – 跨平台反弹后门Shell生成神器
TheFatRat介绍TheFatRat是一个可以生成跨平台反弹shell后门的工具,如exe、apk、macho、php、py、sh等。编译后的恶意脚本可以在windows,android,mac上执行。同时用TheFatRat创建的后门能够绕过大多数杀毒软件的保护,俗称过waf。TheFatRat截图TheFatRat主界面TheFatRat创建后门TheFatRat设置后门信息TheFatR… -
XSStrike – 可识别并绕过WAF的XSS扫描工具
XSStrike高级XSS检测套件XSStrike是一个XSS脚本探测套件,配备了4个手写解析器,一个智能payloads生成器,一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处,但又有明显的区别。XSStrike不像其他工具那样注入XSS并检查它,XSStrike使用多个解析器分析响应,然后通过与fuzzing引擎集成的上下文分析来保证payloads的工作。下面是XSStr… -
Charles破解工具,支持最新版
Charles这个抓包神器相信玩渗透测试的小伙伴基本都认识,今天分享一个可破解charles最新版的工具。有经济条件的同学还是建议买正版:Charles破解许可价格1-4UserLicensesUSD$30/license5+UserLicensesUSD$27/license(10%discount)10+UserLicensesUSD$24/license(20%discount)SiteLi… -
XSS’OR V2:一款漂亮实用的XSS黑客工具
XSS'ORV2XSS'ORV2是一款免费开源的XSS黑客工具,是XSS'OR的升级版本。它包含三个主要模块:Encode/Decode,Codz,Probe,即编码/解码,代码,探针功能。编码/解码模块代码模块XSS'OR探测模块编码/解码模块前端加密与解密;代码压缩、解压缩、美化、执行测试;字符集转换,哈希生成;其他代码模块CSRF请求代码生成;AJAX请求代码生成;XSS攻击向量;XSS攻击… -
Vxscan:一款用于渗透测试的多功能扫描工具
Vxscan介绍python3写的综合扫描工具,主要用来敏感文件探测(目录扫描与js泄露接口),WAF/CDN识别,端口扫描,指纹/服务识别,操作系统识别,弱口令探测,POC扫描,SQL注入,绕过CDN,查询旁站等功能,主要用来甲方自测或乙方授权测试,请勿用来搞破坏。Vxscan扫描界面看到上面的介绍也吓一跳,这么多功能?但是依赖也多呀:Pythonversion>3.6requeststqdmp…