护网中经常使用的一些工具（非常详细）零基础入门到精通，收藏这一篇就够了

最新推荐文章于 2024-10-05 20:03:07 发布

爱吃小石榴16

最新推荐文章于 2024-10-05 20:03:07 发布

阅读量2k

点赞数 23

文章标签： web安全学习网络跳槽安全

本文链接：https://blog.csdn.net/2401_84618514/article/details/141952322

版权

前言

通用工具

工具类型	工具地址
内网扫描	https://github.com/shadow1ng/fscan
哥斯拉Webshell管理	https://github.com/BeichenDream/Godzill a
ARL 资产侦察灯塔	https://github.com/TophantTechnology/AR L
aliyun-accesskey-Tools	https://github.com/mrknow001/aliyun-acc esskey-Tools
PEASS-ng 提权套装	https://github.com/carlospolop/PEASS-ng
nuclei 漏洞扫描器	https://github.com/projectdiscovery/nuclei
railgun 渗透集成化工具	https://github.com/lz520520/railgun
YAKIT 网络安全单兵工具	https://github.com/yaklang/yakit
EHole （棱洞） 3.0 指纹探测工具	https://github.com/EdgeSecurityTeam/EHo le
Traitor 提权工具	https://github.com/liamg/traitor
Stowaway 内网穿透	https://github.com/ph4ntonn/Stowaway
CF 云环境利用框架	https://github.com/teamssix/cf
Naabu 端口扫描	https://github.com/projectdiscovery/naab u
httpx HTTP状态获取	https://github.com/projectdiscovery/httpx
Malleable C2 Profiles	https://github.com/xx0hcd/Malleable-C2-P rofiles
shuize（水泽）信息收集	https://github.com/0x727/ShuiZe_0x727

工具类型	工具地址
Cloud-Bucket-Leak-Detection- Tools	https://github.com/UzJu/Cloud-Bucket-Lea k-Detection-Tools
SharpHostInfo 内网主机探测	https://github.com/shmilylty/SharpHostInf o
pocsuite3	https://github.com/knownsec/pocsuite3
URLFinder	https://github.com/pingc0y/URLFinder
ALLiN 扫描工具	https://github.com/P1-Team/AlliN
ihoneyBakFileScan 备份文件泄露扫描	https://github.com/VMsec/ihoneyBakFileSc an_Modify
spark（火花）自动字典生成器	https://github.com/G0mini/spark
Exphub 漏洞利用脚本	https://github.com/zhzyker/exphub
EasyPen 综合利用工具	https://github.com/lijiejie/EasyPen
Dog Tunnel(狗洞)端口映射工具	https://github.com/vzex/dog-tunnel
frp 端口映射工具	https://github.com/fatedier/frp
MYExploit 综合利用工具	https://github.com/achuna33/MYExploit
dirsearch 目录扫描工具	https://github.com/maurosoria/dirsearch
OneForAll 子域收集工具	https://github.com/shmilylty/OneForAll
Cloud-Bucket-Leak-Detection- Tools 云储存利用工具	https://github.com/UzJu/Cloud-Bucket-Lea k-Detection-Tools
ObserverWard 指纹识别工具	https://github.com/0x727/ObserverWard
AtlasC2 C2框架Atlas	https://github.com/Gr1mmie/AtlasC2
Goblin 钓鱼演练工具	https://github.com/xiecat/goblin

工具类型	工具地址
AsamF 资产收集工具	https://github.com/Kento-Sec/AsamF
Httpx IP、 Url批量存活探测	https://github.com/projectdiscovery/httpx
Ghidra 软件逆向工程框架	https://github.com/NationalSecurityAgenc y/ghidra
crack 弱口令爆破工具	https://github.com/niudaii/crack
Empire 后开发框架	https://github.com/BC-SECURITY/Empire
ksubdomain 子域名爆破工具	https://github.com/knownsec/ksubdomain
scan4all 综合扫描	https://github.com/hktalent/scan4all
Kscan 资产测绘工具	https://github.com/lcvvvv/kscan
RedGuard C2流量前置工具	https://github.com/wikiZ/RedGuard
VScan 漏洞扫描工具	https://github.com/veo/vscan
pydictor 字典建立工具	https://github.com/LandGrey/pydictor
AutoPWN Suite 漏扫利用工具	https://github.com/GamehunterKaan/Auto PWN-Suite
CloudFlair 找CF真实IP工具	https://github.com/christophetd/CloudFlair
feroxbuster 目录扫描工具	https://github.com/epi052/feroxbuster
POC-bomber 漏洞检测/利用工具	https://github.com/tr0uble-mAker/POC-bo mber
iox 端口转发工具	https://github.com/EddieIvan01/iox
f8x 一键环境搭建	https://github.com/ffffffff0x/f8x
URL 搜集工具	https://github.com/lc/gau

工具类型	工具地址
子域名发现工具	https://github.com/projectdiscovery/subfin der
pocassist POC框架	https://github.com/jweny/pocassist
Gobuster 目录文件、 DNS和VHost 爆破工具	https://github.com/OJ/gobuster
Vulmap web漏洞扫描和验证工具	https://github.com/zhzyker/vulmap
ESP32 Wi-Fi攻击工具	https://github.com/risinek/esp32-wifi-pene tration-tool
牛屎花C2远控	https://github.com/YDHCUI/manjusaka
Amass 资产发现、子域名扫描工具	https://github.com/OWASP/Amass
GitHack Git泄露利用工具	https://github.com/lijiejie/GitHack
subDomainsBrute 子域名爆破工具	https://github.com/lijiejie/subDomainsBrut e
JNDI-Inject-Exploit 反序列化测试工具	https://github.com/exp1orer/JNDI-Inject-Ex ploit
LadonGo 内网渗透扫描器框架	https://github.com/k8gege/LadonGo
Dismap 资产发现及指纹识别	https://github.com/zhzyker/dismap
afrog 漏洞扫描工具	https://github.com/zan8in/afrog
TruffleHog 敏感信息搜集工具	https://github.com/trufflesecurity/truffleh og
Komo 综合资产收集和漏洞扫描工具	https://github.com/komomon/Komo
xray 被动扫描安全评估工具	https://github.com/chaitin/xray
AppInfoScanner 移动端信息收集扫描工具	https://github.com/kelvinBen/AppInfoScan ner
Linux提权exp	https://github.com/Al1ex/LinuxEelvation

工具类型	工具地址
Packer Fuzzer Webpack网站扫描工具	https://github.com/rtcatc/Packer-Fuzzer
Polaris 信息搜集与漏洞利用框架	https://github.com/doimet/Polaris
geacon_pro 免杀工具	https://github.com/H4de5-7/geacon_pro
spp 隧道代理工具	https://github.com/esrrhs/spp
Payer 子域名挖掘机	https://github.com/Pik-sec/Payer
MobSF 移动安全测试框架	https://github.com/MobSF/Mobile-Security -Framework-MobSF
ByPassGodzilla/哥斯拉免杀生成	https://github.com/Tas9er/ByPassGodzilla
katana 下一代爬虫框架	https://github.com/projectdiscovery/katan a
SourceDetector 自动发现.map文件	https://github.com/SunHuawei/SourceDet ector
windows提权漏洞检测	https://github.com/bitsadmin/wesng
API未授权扫描插件	https://github.com/API-Security/APIKit
Dirmap web目录扫描工具	https://github.com/H4ckForJob/dirmap
vshell c2主机群管理工具	https://github.com/veo/vshell
Yasso 内网渗透辅助工具集	https://github.com/sairson/Yasso
JSFinder 信息收集接口	https://github.com/Threezh1/JSFinder
Perun 综合扫描器	https://github.com/WyAtu/Perun
AntSword 加载器	https://github.com/AntSwordProject/AntS word-Loader
AntSword	https://github.com/AntSwordProject/antS word

工具类型	工具地址
Goby 漏洞扫描	https://github.com/gobysec/Goby
goby exp库	https://github.com/k3vi-07/goby-exp
reNgine 自动侦察框架	https://github.com/yogeshojha/rengine
SatanSword 红队综合渗透框架	https://github.com/Lucifer1993/SatanSwor d
Dirscan 目录扫描	https://github.com/corunb/Dirscan
LSTAR CobaltStrike综合后渗透插件	https://github.com/lintstar/LSTAR
Platypus 交互式反向Shell 管理器	https://github.com/WangYihang/Platypus
Phoenix 新一代目录扫描神器	https://github.com/Pik-sec/Phoenix
RouteVulScan 递归式被动检测脆弱路径的bp插件	https://github.com/F6JO/RouteVulScan
MDUT 数据库跨平台利用工具	https://github.com/SafeGroceryStore/MDU T
LaZagne 密码凭证收集工具	https://github.com/AlessandroZ/LaZagne
Erfrp frp二开-免杀与隐藏	https://github.com/Goqi/Erfrp
EventCleaner 日志清理	https://github.com/QAX-A-Team/EventClea ner
UACMe Windows bypassUAC	https://github.com/hfiref0x/UACME
SCAMagicScan POC漏洞扫描工具	https://github.com/SCAMagic/SCAMagicSc an
ENScan Go 企业信息搜集工具	https://github.com/wgpsec/ENScan_GO
ThunderSearch 闪电搜索器	https://github.com/xzajyjs/ThunderSearch
EmailAll 邮箱收集工具	https://github.com/Taonn/EmailAll

工具类型	工具地址
finger 资产识别工具	https://github.com/EASY233/Finger
apk扫描器	https://github.com/dwisiswant0/apkleaks
Neo-reGeorg 代理工具	https://github.com/L-codes/Neo-reGeorg
blasting 图形化后台爆破工具	https://github.com/gubeihc/blasting
HaE 敏感信息收集burp插件	https://github.com/gh0stkey/HaE
powershell免杀混淆	https://github.com/H4de5-7/powershell-o bfuscation
Bundler-bypass 免杀捆绑器	https://github.com/H4de5-7/Bundler-bypa ss
java图形化漏洞利用工具集	https://github.com/savior-only/javafx_tools

漏洞利用

漏洞产品	工具地址
SpringBootExploit	https://github.com/0x727/SpringBoot Exploit
Springboot漏洞全家桶	https://github.com/woodpecker-apps tore/springboot-vuldb
Log4j2Scan	https://github.com/whwlsfb/Log4j2Sc an
ShiroExploit	https://github.com/feihong-cs/ShiroE xploit-Deprecated
ShiroAttack2	https://github.com/SummerSec/Shiro Attack2
thinkphp_gui_tools	https://github.com/bewhale/thinkphp _gui_tools
Fastjson-Patrol	https://github.com/ce-automne/Fastjs onPatrol

漏洞产品	工具地址
Vmware虚拟化漏洞利用（HCX/vCenter/NSX/Horizon/vRealize）	https://github.com/NS-Sp4ce/Vm4J
Struts2-Scan 漏洞检测	https://github.com/HatBoy/Struts2-Sc an
Fastjson 扫描器	https://github.com/a1phaboy/Fastjso nScan
致远OA综合利用工具	https://github.com/Summer177/seey on_exp
泛微OA综合利用脚本	https://github.com/z1un/weaver_exp

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

在这里插入图片描述

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事，

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。