网络安全最新【2024最新】全网最全开源黑客工具合集（附地址）_quake(2)，网络安全视频开发面试问题

本文链接：https://blog.csdn.net/2401_84281748/article/details/138883828

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：
在这里插入图片描述

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

四、目录扫描工具


项目简介	项目地址	项目名称
Web path scanner 目录扫描工具	GitHub - maurosoria/dirsearch: Web path scanner	dirsearch
用Rust编写的快速，简单，递归的内容发现工具	GitHub - epi052/feroxbuster: A fast, simple, recursive content discovery tool written in Rust.	feroxbuster
用Go编写的模糊测试工具	GitHub - ffuf/ffuf: Fast web fuzzer written in Go	ffuf
一个高级web目录、文件扫描工具	GitHub - H4ckForJob/dirmap: An advanced web directory & file scanning tool that will be more powerful than DirBuster, Dirsearch, cansina, and Yu Jian.一个高级web目录、文件扫描工具，功能将会强于DirBuster、Dirsearch、cansina、御剑。	dirmap
网站的敏感目录发掘工具	GitHub - deibit/cansina: Web Content Discovery Tool	cansina
御剑后台扫描工具珍藏版	御剑后台扫描工具下载、安装、使用教程 - 付杰博客	御剑
使用GoLang开发的目录/子域扫描器	GitHub - ReddyyZ/urlbrute: Directory/Subdomain scanner developed in GoLang.	urlbrute
御剑目录扫描专业版	GitHub - foryujian/yjdirscan: 御剑目录扫描专业版，简单实用的命令行网站目录扫描工具，支持爬虫、fuzz、自定义字典、字典变量、UA修改、假404自动过滤、扫描控速等功能。	yjdirscan
web目录快速扫描工具，够用	GitHub - hunyaio/yuhScan: web目录快速扫描工具	yuhScan
类似JSFinder的golang实现，更快更全更舒服	GitHub - pingc0y/URLFinder: 一款快速、全面、易用的页面信息提取工具，可快速发现和提取页面中的JS、URL和敏感信息。	URLFinder
爬虫可以发现搜索引擎发现不了的目录	GitHub - jaeles-project/gospider: Gospider - Fast web spider written in Go	gospider
katana 是 projectdiscovery 项目中的一个网页链接抓取工具，可以自动解析js文件。新一代爬行框架。	GitHub - projectdiscovery/katana: A next-generation crawling and spidering framework.	katana
dontgo403 是一个绕过 40X 错误的工具。	GitHub - devploit/dontgo403: Tool to bypass 40X response codes.	dontgo403

五、指纹识别工具


项目简介	项目地址	项目名称
红队重点攻击系统指纹探测工具	GitHub - EdgeSecurityTeam/EHole: EHole(棱洞)3.0 重构版-红队重点攻击系统指纹探测工具3.0 重构版-红队重点攻击系统指纹探测工具")	EHole(棱洞)2.0
Golang实现Wappalyzer 指纹识别	GitHub - projectdiscovery/wappalyzergo: A high performance go implementation of Wappalyzer Technology Detection Library	wappalyzergo
功能齐全的Web指纹识别和分享平台，内置了一万多条互联网开源的指纹信息。	GitHub - b1ackc4t/14Finger: 功能齐全的Web指纹识别和分享平台,基于vue3+django前后端分离的web架构，并集成了长亭出品的rad爬虫的功能，内置了一万多条互联网开源的指纹信息。	14Finger
一个web应用程序指纹识别工具	GitHub - urbanadventurer/WhatWeb: Next generation web scanner	Whatweb
一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具	GitHub - EASY233/Finger: 一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具	Finger
Glass是一款针对资产列表的快速指纹识别工具	GitHub - s7ckTeam/Glass: Glass是一款针对资产列表的快速指纹识别工具，通过调用Fofa/ZoomEye/Shodan/360等api接口快速查询资产信息并识别重点资产的指纹，也可针对IP/IP段或资产列表进行快速的指纹识别。	Glass
TideFinger——指纹识别小工具，汲取整合了多个web指纹库	GitHub - TideSec/TideFinger: TideFinger——指纹识别小工具，汲取整合了多个web指纹库，结合了多种指纹检测方法，让指纹检测更快捷、准确。	TideFinger

六、端口扫描工具


项目简介	项目地址	项目名称
naabu 用 go 编写的快速端口扫描器	GitHub - projectdiscovery/naabu: A fast port scanner written in go with a focus on reliability and simplicity. Designed to be used in combination with other tools for attack surface discovery in bug bounties and pentests	naabu
TXPortMap 实用型的端口扫描、服务识别工具	GitHub - 4dogs-cn/TXPortMap: Port Scanner & Banner Identify From TianXiang	TXPortMap
使用Golang开发的高并发网络扫描、服务探测工具	GitHub - Adminisme/ServerScan: ServerScan一款使用Golang开发的高并发网络扫描、服务探测工具。	serverScan
masnmapscan 一款端口扫描器。整合了masscan和nmap两款扫描器	GitHub - hellogoldsnakeman/masnmapscan-V1.0: 一款用于资产探测的端口扫描工具。整合了masscan和nmap两款扫描器，masscan扫描端口，nmap扫描端口对应服务，二者结合起来实现了又快又好地扫描。	整合扫描器
gonmap是一个go语言的nmap端口扫描库	GitHub - lcvvvv/gonmap: gonmap是一个go语言的nmap端口扫描库，使用纯go实现nmap的扫描逻辑，而非调用nmap来进行扫描。	gonmap
光速扫描	[release_免费高速下载	百度网盘-分享无限制](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)
在线端口扫描1	在线端口检测,端口扫描,端口开放检查-在线工具-postjson	在线工具
在线端口扫描2	在线端口扫描,IP/服务器端口在线扫描 - TooL.cc	在线工具2

七、Burp插件


项目简介	项目地址	项目名称
有关burpsuite的插件(非商店),文章以及使用技巧的收集	GitHub - Mr-xn/BurpSuite-collections: 有关burpsuite的插件(非商店),文章以及使用技巧的收集(此项目不再提供burpsuite破解文件,如需要请在博客mrxn.net下载)—Collection of burpsuite plugins (non-stores), articles and tips for using Burpsuite, no crack version file,文章以及使用技巧的收集(此项目不再提供burpsuite破解文件,如需要请在博客mrxn.net下载)—Collection of burpsuite plugins (non-stores), articles and tips for using Burpsuite, no crack version file")	BurpSuite-collections
一款基于BurpSuite的被动式shiro检测插件	GitHub - pmiaowu/BurpShiroPassiveScan: 一款基于BurpSuite的被动式shiro检测插件	BurpShiroPassiveScan
一款基于BurpSuite的被动式FastJson检测插件	GitHub - pmiaowu/BurpFastJsonScan: 一款基于BurpSuite的被动式FastJson检测插件	BurpFastJsonScan
添加一些右键菜单让burp用起来更顺畅	GitHub - bit4woo/knife: A burp extension that add some useful function to Context Menu 添加一些右键菜单让burp用起来更顺畅	knife
fastjson漏洞burp插件，检测fastjson小于1.2.68基于dnslog	GitHub - zilong3033/fastjsonScan: fastjson漏洞burp插件，检测fastjson<1.2.68基于dnslog，fastjson<=1.2.24和1.2.33<=fatjson<=1.2.47的不出网检测和TomcatEcho,SpringEcho回显方案。	fastjsonScan
fastjson利用，支持tomcat、spring回显，哥斯拉内存马；回显利用链为dhcp、ibatis、c3p0	GitHub - amaz1ngday/fastjson-exp: fastjson利用，支持tomcat、spring回显，哥斯拉内存马；回显利用链为dhcp、ibatis、c3p0。	fastjson-exp
HaE 请求高亮标记与信息提取的辅助型 BurpSuite 插件	GitHub - gh0stkey/HaE: HaE - Highlighter and Extractor, Empower ethical hacker for efficient operations.	HaE
domain_hunter_pro 一个资产管理类的Burp插件	GitHub - bit4woo/domain_hunter_pro: domain_hunter的高级版本，SRC挖洞、HW打点之必备！自动化资产收集；快速Title获取；外部工具联动；等等	domain_hunter_pro
新一代子域名主/被动收集工具	GitHub - Acmesec/Sylas: 新一代子域名主/被动收集工具 - Subdomain automatic/passive collection tool	Sylas
GadgetProbe Burp插件用来爆破远程类查找Java反序列化	GitHub - BishopFox/GadgetProbe: Probe endpoints consuming Java serialized objects to identify classes, libraries, and library versions on remote Java classpaths.	GadgetProbe
HopLa 自动补全 Payload 的 BurpSuite插件	GitHub - synacktiv/HopLa: HopLa Burp Suite Extender plugin - Adds autocompletion support and useful payloads in Burp Suite	HopLa
验证码识别	GitHub - f0ng/captcha-killer-modified: captcha-killer的修改版，支持关键词识别base64编码的图片，添加免费ocr库，用于验证码爆破，适配新版Burpsuite	captcha-killer-modified
一款支持多种加密算法、或直接执行浏览器JS代码的BurpSuite插件。	GitHub - whwlsfb/BurpCrypto: BurpCrypto is a collection of burpsuite encryption plug-ins, support AES/RSA/DES/ExecJs(execute JS encryption code in burpsuite). 支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插件. 支持多种加密算法或直接执行JS代码的用于爆破前端加密的BurpSuite插件")	BurpCrypto
根据自定义来达到对数据包的处理（适用于加解密、爆破等），类似mitmproxy，不同点在于经过了burp中转	GitHub - f0ng/autoDecoder: Burp插件，根据自定义来达到对数据包的处理（适用于加解密、爆破等），类似mitmproxy，不同点在于经过了burp中转，在自动加解密的基础上，不影响APP、网站加解密正常逻辑等。	autoDecoder
伪造ip地址	GitHub - TheKingOfDuck/burpFakeIP: 服务端配置错误情况下用于伪造ip地址进行测试的Burp Suite插件	burpFakeIP
自动发送请求	GitHub - nccgroup/AutoRepeater: Automated HTTP Request Repeating With Burp Suite	AutoRepeater
自动探测请求走私漏洞	GitHub - PortSwigger/http-request-smuggler	http-request-smuggler

八、浏览器插件


项目简介	项目地址	项目名称
Hack-Tools 适用于红队的浏览器扩展插件	GitHub - LasCC/HackTools: The all-in-one browser extension for offensive security professionals 🛠	Hack-Tools
SwitchyOmega 浏览器的代理插件	GitHub - FelisCatus/SwitchyOmega: Manage and switch between multiple proxies quickly & easily.	SwitchyOmega
Chrome插件.使用DevTools查找DOM XSS	GitHub - filedescriptor/untrusted-types	untrusted-types
FOFA Pro view 是一款FOFA Pro 资产展示浏览器插件	GitHub - fofapro/fofa_view: FOFA Pro view 是一款FOFA Pro 资产展示浏览器插件，目前兼容 Chrome、Firefox、Opera。	fofa_view
mitaka 用于 OSINT 搜索的Chrome和Firefox扩展	GitHub - ninoseki/mitaka: A browser extension for OSINT search	mitaka
Git History 查看git存储库文件的历史记录	Git History	Git History
一款可以检测WEB蜜罐并阻断请求的Chrome插件	GitHub - cnrstar/anti-honeypot: 一款可以检测WEB蜜罐并阻断请求的Chrome插件	anti-honeypot
一款基于 Chromium的XSS检测工具	GitHub - v8blink/Chromium-based-XSS-Taint-Tracking: Cyclops 是一款具有 XSS 检测功能的浏览器	Chromium-based-XSS-Taint-Tracking
一款完全被动监听的谷歌插件，用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗。	GitHub - Ghr07h/Heimdallr: 一款完全被动监听的谷歌插件，用于高危指纹识别、蜜罐特征告警和拦截、机器特征对抗	Heimdallr

九、邮箱&钓鱼


项目简介	项目地址	项目名称
邮箱自动化收集爬取	GitHub - Taonn/EmailAll: EmailAll is a powerful Email Collect tool — 一款强大的邮箱收集工具	EmailAll
通过搜索引擎爬取电子邮件	GitHub - Josue87/EmailFinder: Search emails from a domain through search engines	EmailFinder
批量检查邮箱账密有效的 Python 脚本	GitHub - rm1984/IMAPLoginTester: A simple Python script that reads a text file with lots of e-mails and passwords, and tries to check if those credentials are valid by trying to login on IMAP servers.	IMAPLoginTester
Coremail邮件系统组织通讯录导出脚本	GitHub - dpu/coremail-address-book: 📧Coremail邮件系统组织通讯录导出脚本	coremail-address-book
拥有在线模板设计、发送诱骗广告等功能的钓鱼系统	GitHub - gophish/gophish: Open-Source Phishing Toolkit	gophish
Swaks SMTP界的瑞士军刀	GitHub - jetmore/swaks: Swaks - Swiss Army Knife for SMTP	swaks
一个在线的任意发件人发送Email邮件网站	http://tool.chacuo.net/mailanonymous	mailanonymous
EwoMail是基于Linux的企业邮箱服务器	GitHub - gyxuehu/EwoMail: EwoMail是基于Linux的企业邮箱服务器，集成了众多优秀稳定的组件，是一个快速部署、简单高效、多语言、安全稳定的邮件解决方案	EwoMail
批量发送钓鱼邮箱	GitHub - 1n7erface/sendMail: 批量发送钓鱼邮箱	sendMail
免杀宏生成器	GitHub - Inf0secRabbit/BadAssMacros: BadAssMacros - C# based automated Malicous Macro Generator.	BadAssMacros

十、社工个人信息收集类


项目简介	项目地址	项目名称
从大量站点中收集用户个人信息	GitHub - soxoj/maigret: 🕵️‍♂️ Collect a dossier on a person by username from thousands of sites	maigret
根据邮箱自动搜索泄漏的密码信息	GitHub - D4Vinci/Cr3dOv3r: Know the dangers of credential reuse attacks.	Cr3dOv3r
密码泄露搜集	https://archive.org/search.php?query=	archive
从部分站点中收集个人信息	GitHub - n0tr00t/Sreg: Sreg可对使用者通过输入email、phone、username的返回用户注册的所有互联网护照信息。	Sreg
输入人名或邮箱地址, 自动从互联网爬取关于此人的信息	GitHub - famavott/osint-scraper: Social Recon	osint-scraper
通过脉脉用户猜测企业邮箱	GitHub - Ridter/Mailget: 通过脉脉用户猜测企业邮箱	Mailget
社工字典密码生成	GitHub - Mebus/cupp: Common User Passwords Profiler (CUPP)")	cupp
社会工程学密码生成器，是一个利用个人信息生成密码的工具	GitHub - zgjx6/SocialEngineeringDictionaryGenerator: 社会工程学密码生成器，是一个利用个人信息生成密码的工具	DictionaryGenerator
在线密码生成器	Weakpass password generator	weakpass