渗透测试工具包 开源安全测试工具 网络安全工具_vajra自动化渗透测试

• zvuldirll - SQL注入、跨站脚本、CSRF、文件包含等漏洞练习平台。
• vulapps - 各种组件漏洞环境，思科、openssl等漏洞练习平台。
• dvwa - 是一个 PHP/MySQL Web 应用程序漏洞练习平台。
• sqli-labs - 数据库注入练习平台。
• vulnerable - node编写的漏洞练习平台，like OWASP Node Goat，测试安全分析器工具的质量。
• secgen - Ruby编写的一款工具，生成含漏洞的虚拟机。
• vulstudy - docker镜像,一键部署sqli、DVWA、XSSed等17个靶场。

漏扫工具

• nuclei - 基于简单 YAML 的 DSL 的快速且可定制的漏洞扫描器。
• nikto - Nikto 网络服务器扫描仪。
• w3af - Web 应用程序攻击和审计框架，该扫描器能够识别200 多个漏洞，包括跨站点脚本、 SQL 注入和 操作系统命令。
• vuls - 适用于 Linux、FreeBSD、容器、WordPress、编程语言库、网络设备的无代理漏洞扫描程序，本地或远程（SSH）扫描。
• HellRaiser - 漏洞扫描器使用 Nmap 扫描和关联发现的 CPE 与 CVE。
• wafw00f - Waf类型检测识别工具。

远控

• gcat - 用gmail充当C&C服务器的后门。
• BlackHole - C#RAT（远程管理工具）。
• webshell - 这是一个 webshel​​l 开源项目。
• xssplatform - 一个经典的XSS渗透管理平台，XSS数据接收平台，XSS反射平台。
• xssor - XSS与CSRF工具。
• pentestpackage - 脚本工具包，渗透常用小工具包。
• dirsearch - dirsearch网络路径扫描仪，路径爆破，路径扫描。
• commix - web向命令注入检测工具，自动化的一体化操作系统命令注入利用工具，可自动检测和利用命令注入漏洞。
• tplmap - 服务器端模板注入和代码注入检测和利用工具,支持burp插件。
• ToolSuite - 渗透测试工具包。
• ARTLAS - Apache 实时日志分析系统。
• whatweb - web指纹识别。
• Malspider - 内置了对隐藏 iframe、侦察框架、vbscript 注入、电子邮件地址泄露等危害特征的检测，网络入侵特征检测。
• wpscan - WPScan WordPress 安全扫描器。用于测试 WordPress 网站的安全性。
• sqlmap - 自动 SQL 注入和数据库接管工具。
• Cknife - 菜刀、C刀、webshell管理工具。
• GitHack - github泄露利用，通过泄露的.git文件夹下的文件，重建还原工程源代码。
• BeEF - 浏览器攻击框架，XSS利用神器。
• WAFNinja - 自动化绕过WAF脚本，该工具附带了许多存储在本地数据库文件中的有效负载和模糊测试字符串。
• wafbypasser - 诊断 WAF 规则并绕过 WAF。
• httpie - 是一个命令行 HTTP 客户端，http命令行客户端。
• dzscan - DISCUZ漏洞扫描器
• tomcatWarDeployer - Tomcat 自动 WAR 部署和 pwning 渗透测试工具。
• J2EEScan - burpsuit插件，J2EE扫描插件，识别J2EE指纹和CVE漏洞检测。

数据库漏洞扫描器|SQL注入

• sqlmap - 注入工具之王sqlmap。
• SQLiScanner - 一款基于SQLMAP和Charles的被动SQL注入漏洞扫描工具。
• DSSS - 99行代码实现的sql注入漏洞扫描器。
• NoSQLAttack - 可以自动利用 Internet 上的 MongoDB 服务器 IP，并通过 MongoDB 默认配置漏洞和注入攻击泄露数据库数据。
• PowerUpSQL - 内部渗透测试，支持 SQL Server 发现、弱配置审计、大规模特权升级以及诸如操作系统命令执行等利用后操作的功能的PowerShell 工具包。
• jsql-injection - Java 编写的SQL注入工具，Kali已集成。

子域名枚举/爆破工具

• N4xD0rk - 使用名为 Hacking with search engine 的技术列出有关主域的子域。
• Anubis - Anubis 是一个子域枚举和信息收集工具。
• subDomainsBrute - 一个用于渗透测试者的快速子域暴力工具,使用广泛的子域名爆破枚举工具。
• wydomain - 子域名爆破枚举工具。
• subbrute - 使用开放解析器作为一种代理来规避 DNS 速率限制,同时也是扫描器中最常用的子域名API库。
• GSDF - 基于谷歌SSL透明证书的子域名查询脚本。

弱口令爆破工具

• x-crack - x-crack - 弱密码扫描器，支持：FTP/SSH/SNMP/MSSQL/MYSQL/PostGreSQL/REDIS/ElasticSearch/MONGODB。
• cupp - 根据用户习惯生成弱口令探测字典脚本。
• SuperWordlist - 各种弱口令字典。

脚本

• nishang - Nishang - 用于红队、渗透测试和进攻性安全的进攻性 PowerShell，内网信息收集，横向，扫描、获取凭证等ps脚本。

Webshell管理

• Behinder - “冰蝎”动态二进制加密网站管理客户端。

隧道

• reGeorg - HTTP隧道，socket代理。

代理

• nps - 内网穿透代理服务器。

内网渗透或扫描工具

• fscan - 一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。
• LaZagne - 用于检索存储在本地计算机上的大量密码。支持浏览器、数据库、邮件等程序。
• mimipenguin - linux密码抓取神器。

fuzz工具收集

• winafl - 用于模糊 Windows 二进制文件的 AFL 分支，在目标二进制文件中找到新的执行路径。
• NodeFuzz - NodeFuzz 是用于 Web 浏览器和类似浏览器的应用程序的模糊器工具。
• oss-fuzz - OSS-Fuzz - 开源软件的连续模糊测试。
• alphafuzzer - 阿尔法实验室fuzz工具。
• LibFuzzer - fuzz。

读者福利：知道你对网络安全感兴趣，便准备了这套网络安全的学习资料

对于0基础小白入门：

如果你是零基础小白，想快速入门网络安全是可以考虑的。
一方面是学习时间相对较短，学习内容更全面更集中。
二方面是可以找到适合自己的学习方案

包括： 网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。 带你从零基础系统性的学好网络安全！

👉网安学习成长路线图、网安视频合集👈

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。（全套教程文末领取哈）

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！