使用不当可能造成牢狱之灾,2023全网优秀的开源攻防武器大分享

最新推荐文章于 2024-07-18 22:57:38 发布
最新推荐文章于 2024-07-18 22:57:38 发布
阅读量165 收藏
点赞数
文章标签: 安全 运维 网络 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MachineGunJoe/article/details/129733905
版权

首先,恭喜你发现了宝藏。

这里集成了 2023 全网优秀的开源攻防武器项目,包含:

1.信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名

收集工具、指纹识别工具、端口扫描工具、各种插件…etc…)

2.漏洞利用工具(各大 CMS 利用工具、中间件利用工具等项目…)

3.内网渗透工具(隧道代理、密码提取…)

4.应急响应工具

5.甲方运维工具

6.等等其他安全攻防资料整理,供攻防双方使用。

重点提醒:本项目工具来源于互联网,是否含带木马及后门请自行

甄别!!Hvv 来即,请大家提高警惕!!!

受限于篇幅原因,无法全部展示!

图片

除了PDF还为大家做了一张学习路线图

目录

半/全自动化利用工具

信息收集工具

  • 资产发现工具
  • 子域名收集工具
  • 目录扫描工具
  • 指纹识别工具
  • 端口扫描工具
  • Burp 插件
  • 浏览器插件
  • 邮箱&钓鱼
  • 社工个人信息收集类
  • APP/公众号/小程序相关工具
  • 常用小工具****

漏洞利用工具**
**

  • 漏洞扫描框架/工具
  • 中间件漏洞利用工具
  • 重点 cms 利用工具
  • 信息泄露利用工具
  • 数据库利用工具
  • 爆破利用工具
  • 全网字典收集
  • 常规漏洞利用工具
  • 反序列化利用工具
  • 代码审计辅助工具

内网渗透工具

  • 提权项目
  • 横向移动工具
  • shell 托管工具
  • 密码提取工具
  • 隧道代理工具
  • 优秀免杀项目
  • 权限维持工具
  • 基础设施及环境搭建

图片

【点我领取】

我是黑客
关注
超实用的网络安全开源工具
哆啦安全
09-19 453
1.Web Shell生成器和命令行接口工具 生成器使用了php、asp和jsp来创建Webshell https://github.com/EatonChips/wsh git clone https://github.com/EatonChips/wsh.git wsh 127.0.0.1:8080/test.php --param cmd wsh generate php --param cmd --no-file -o shell.php wsh generate php --no-file
2019年程序员各种牢狱之灾,怎样才能避免面向监狱编程?
m0_66685251的博客
03-15 330
作者 | Hollis 最近,有很多关于程序员被抓甚至被判刑的新闻在_朋友圈_疯传: "某程序员因为接了个外包,帮别人写了个软件,结果这个软件被用于赌博导致被抓。 某公司利用爬虫抓取用户信息,最后被发现,导致该公司的程序员被抓。 某P2P公司暴雷,老板跑路,程序员被抓。 中科大博士卖“外挂”非法牟利300多万,被警方逮捕。" 那么,作为一个程序员,如何避免这些坑呢?怎样尽可能的保护自己呢? 为此,作者特地找自己法律专业的朋友了解了一些常见的问题,如参与爬虫、赌博网站、P2P以及外挂开发是否违法等问题。 总.
网络安全——子域名收集
weixin_54055099的博客
08-30 2041
子域名的收集方法
史上最全的子域名收集姿势
大河之犬的博客
03-01 3726
目前最常见的解决方式是IP黑名单的方式,首先访问一个随机的并不存在的域,通过返回的结果判断是否存在泛解析,确定存在泛解析后,不断的生成随机域名并发送请求,将每次返回的IP和TTL记录下来,直到大部分的IP出现次数都大于两次,则IP黑名单收集完成。但是信息收集中,这会造成请求的所有子域名都能访问的假象,从而收集到一堆无效的子域名。找到某个子域名的IP地址,可以尝试通过在OSINT来源中查找IP中的域名或通过暴力破解虚拟主机域名来找到该IP中的其他子域名。头中设置了有效的域名/子域名时,页面才会返回。
子域名信息收集技巧(全面)
siu~
07-05 1758
子域名获取在SRC挖掘及攻防对抗演练中是最重要的一个环节,往往很多突破口更容易出现在子域名上。
信息收集-子域名
weixin_49349476的博客
05-19 935
企业可能有多个、几十个甚至更多的子域名应用,因为子域名数量多,企业子域名应用的防护可能会没有主站及时。攻击者在主站域名找不到突破口时,就可以进行子域名的信息收集,然后通过子域名的漏洞进行迂回攻击。“Layer子域名挖掘机”是图形化的工具,内置了很多常见的子域名字典,支持多线程,可以识别域名的真实IP,是子域名枚举常用的工具之一。子域名是父域名的下一级,比如“huiyuan.xxx.com”和“bbs.xxx.com”这两个域名是“xxx.com”的子域名,可以通过枚举的方式对子域名进行收集(暴力破解)
经典热门网络小说整理推荐!可直接下载!免费提供图文介绍及电子书下载链接!持续更新中...
最新发布
欧特GO
07-18 1962
经典热门网络小说整理推荐!可直接下载!免费提供图文介绍及电子书下载链接!持续更新中...
一个程序员的牢狱生涯(38)答案
bobusiness的博客
05-26 831
泥人儿还有三分火气在’,即使没有我的副所朋友,没有严所的照顾在,如果有机会了,我也不介意好好‘修理修理’他,而且还得搞清楚他到底是为什么要这样敌视我,威胁我。而我只是刚进来才三天的新人,虽然有副所的关系在,有严所的照顾在,但我实在不敢想象如果小X州找机会向郑所,这位在看守所拥有最大权利的人举报了我,我会受到怎样的惩罚。现在有了头铺的默许,也知道了小X州和郑所并没有什么实质性的关系,我在心里已经暗暗地做好了要‘修理’一下小X州的准备,而且最好是让他做不成我们号子的‘耳目’。小X州对我发出很低的声音。
一个程序员的牢狱生涯(37)任务
bobusiness的博客
05-26 726
也许我在递给大镣衣服的时候,就能很自然地把手里的东西交给他,即使被号子里的其他人看到也应该没什么的,毕竟这是赵老大交给我的‘任务’。我不知道赵老大交给我的是什么东西,但看他当时的样子并不想让别人知道,而且他拿过来的衣服是抖开的,也许有可能是赵老大在帮老郅或秦管教检查的时候,发现了领子处藏着的东西。在看到大镣失落低沉的样子后,我很想告诉他,也许他找的东西就在我手里攥着。但看到号子里所有人的目光还在注视着我俩,都在‘关心’的看着大镣,让我不敢那样去做,只能继续装着很自然的样子,攥着手,焦急的看着大镣。
一个程序员的牢狱生涯(47)学法
bobusiness的博客
05-31 459
从大镣随后的回答中,我才知道,他的案子在一审、二审后,都被判决‘死刑’,他现在在等着最高法的‘死刑核准’,按照时间估计‘核准’结果应该也快出来了。我安慰着,对于大镣的生或死,我心中没法做出定论。我想,我的不同,不仅仅是因为我比号子里的其它人文化水平高的原因,更深层次的原因可能是严所觉得我是因为一时的冲动,因为不懂法才犯的法,而不是我平时的所作所为本身就是违法的。我没问大镣关于那张纸条上写的是什么,他不说,我也不应该问,他想对我说的,我会好好听,他不想说的,我也不会去追问,这也是我现在唯一能‘帮’到他的。
信息收集系列|子域名收集姿势总结
SpaceSec的博客
06-29 2937
在渗透测试或SRC漏洞挖掘中,安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试,通常都需要进行子域名收集。
【信息收集】子域名收集
m0_46344990的博客
05-11 1322
一、子域名介绍 域名是个相对的概念,是相对父域名来说的。域名有很多级,中间用点分开。例如公司的顶级域名是以"com"结尾的,所有以 com 结尾的域名便都是它的子域。例如:voice.baidu.com便是"baidu.com"的子域,而 "baidu.com"是"com"的子域。 1.在渗透测试中收集子域名可以发现更多的资产,如果渗透的目标面大了也增大了会有漏洞了概率 2.探测到更多隐藏或遗忘的应用服务,可能这些应用服务有严重漏洞 二、子域名收集方法 1.谷歌黑暗语法 可以直接通过浏览器来搜.
信息收集——子域名收集
热门推荐
Gjqhs的博客
01-16 1万+
一:子域名爆破 1.下载赋权 2.-w 使用工具扩展扫描 若成功,则其结果在同目录生成对应文件
信息收集之子域名收集
cdyunaq的博客
05-12 2788
上一次我们分享了主域名收集的思路和方法,但除了主域名外,子域名也是域名信息收集中的一个重要环节,在当今各种防护设备满天飞的情况下,想要拿下主域名越来越难,但我们可以使用迂回策略,从子域名下手,慢慢靠近主域名以达到shell的目的。 子域名收集可以帮助我们发现目标对外开放的更多的资产,如果能找到一些被遗忘或目标不关注的子域名,将其作为突破点,可能达到事半功倍的效果。 子域名收集的方式很多,但如何尽可能全的收集到所有的子域名却不是那么容易的事儿;本次将从手工和工具两种方式为大家进行讲解。 手工操作 证书
子域名收集
weixin_53146913的博客
03-01 4897
收集子域名的方法 那任何收集子域名呢 ? 常用的有 3 种: 在线收集 Fuzzdomain 工具 用户事件 p.s. 没有哪一种工具是可以全部扫描到的。 具体如图: 在线收集 一、谷歌语法 通过特定站点范围查询子域:site:qq.com 在线网站: 二、在线爆破 在线枚举爆破:http://phpinfo.me/domain/ 三...
微软开源网络攻防模拟工具CyberBattleSim介绍及源码分析
随便记记笔记
05-18 5659
CyberBattleSim介绍及分析介绍代理性能指标项目目标Why模拟,Why Simple挑战应用设计原则建模如何模拟(建模)漏洞建模漏洞结果代码分析toyctf环境chain环境基准测试评估chain网络完全控制需要的时间特征选择chain网络下的迁移学习其他 介绍 项目主页:cyberbattlesim - 微软官方页面 Gtihub主页:microsoft/CyberBattleSim 微软尝试利用AI和机器学习来解决安全挑战,研究智能体是如何在模拟的企业网络内进行交互和强化学习技术如何帮助提高安
2020年5大开源免费waf产品力荐,网站安全防护必备
weixin_47942072的博客
11-19 4698
随着网络形式逐渐严峻,网络安全成了众多用户面临的主要问题。目前防护网站安全较为简单有效的产品就是web应用防火墙,也就是现在所谓的waf产品,开源waf在网上不多,即便是打着开源旗号的,不少都是只供个人使用,一旦涉及商业还是要付费,或者是购买规则库需要付费,并且有很多waf厂商已经没有继续做,但是产品依然存在,用户辨别难度大,基于此,特此整理了现存的5大开源waf,大家有安全需求的可以使用。 1、ModSecurity ModSecurity最开始是从一个安全模块发展起来的,逐渐成为开源web应用防火墙
H1ve--开源攻防CTF训练平台
qq_38873461的博客
02-28 4726
H1ve–开源攻防CTF训练平台 https://github.com/D0g3-Lab/H1ve H1ve是一款自研CTF平台,同时具备解题、攻防对抗模式。其中,解题赛部分对Web和Pwn题型,支持独立题目容器及动态Flag防作弊。攻防对抗赛部分支持AWD一键部署,并配备炫酷地可视化战况界面。 如何使用: git clone https://github.com/D0g3-Lab/H1ve.g...
开源系列:AI对抗攻防算法开源平台,哪家强?
weixin_39640818的博客
06-10 1213
原创:谭婧人工智能算法攻与防,始于一个有趣的“捣乱”,在谷歌实验室里。“捣乱”,纯粹是人为的,自己给自己添乱。得到的实验室结论是:对输入样本(一张图片)故意添加一些人无法肉眼察觉的细...
信息安全重防御:IP-GUARD三重保护系统
LG电子随后提起诉讼,A先生被捕,面临牢狱之灾。 事件2:深圳十万孕产妇信息泄露 深圳媒体报道,孕产妇信息系统部分内容被泄露,导致孕产妇信息泄露。该事件导致了严重的信息泄露和法律风险。 事件3:香港连续...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是黑客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值