首先,恭喜你发现了宝藏。
本文章集成了全网优秀的开源攻防武器项目,包含:
信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...)
漏洞利用工具(各大CMS利用工具、中间件利用工具等项目........)
内网渗透工具(隧道代理、密码提取.....)
应急响应工具
甲方运维工具
等其他安全攻防资料整理,供攻防双方使用。
重点提醒:本项目工具来源于互联网,是否含带木马及后门请自行甄别!!Hvv来即,请大家提高警惕!!!
受限于篇幅原因,无法全部展示,如果你需要的话,可以评论区告诉我!也可以点击蓝色字体自助获取
【一一帮助安全学习(网络安全面试题+学习路线+视频教程+工具)一一】
你可以通过以下命令检查所有的工具:
git clone --recursive https://github.com/jekil/awesome-hacking.git
所有的贡献都是有价值的!可以按照下面的向导。
代码审计
静态分析
Brakeman :一个静态安全漏洞扫描工具,用于Ruby写的Rails应用。
密码学
Xortool:一个用于分析多字节异或密码的工具
CTF工具
Pwntools:CTF框架以及EXP开发库
Docker
Docker Bench for Security – docker对于所有可自动化测试的基本安全检查在CIS Docker 1.6基准中。
docker pull diogomonica/docker-bench-security
DVWA – 漏洞网站应用平台 (DVWA) 是一个有大量漏洞的 PHP/MySQL 网站应用。
docker pull citizenstig/dvwa
Kali Linux – 这个Kali Linux Docker镜像提供了最新版本Kali Linux发行版的最小化安装。
docker pull kalilinux/kali-linux-docker
OWASP Juice Shop – 一个故意的不安全网站应用,用于安全培训,完全使用Javascript开发,包含所有的OWASP Top 10漏洞以及其他的高危漏洞。
docker pull bkimminich/juice-shop
OWASP Mutillidae II – OWASP Mutillidae II 网站渗透测试实践系统。
docker pull citizenstig/nowasp
OWASP NodeGoat – 一个学习环境,用来学习OWASP Top 10安全威胁如何应用到网站安全中,用Node.js开发,以及如何有效利用。
git clone GitHub - OWASP/NodeGoat: The OWASP NodeGoat project provides an environment to learn how OWASP Top 10 security risks apply to web applications developed using Node.js and how to effectively address them. docker-compose build && docker-compose up
OWASP Railsgoat –根据 OWASP Top 10的Rails漏洞版本.
docker pull owasp/railsgoat
OWASP Security Shepherd – 一个网站和移动安全应用训练平台.
docker pull ismisepaul/securityshepherd
OWASP WebGoat – 一个故意不安全的网站应用.
docker pull danmx/docker-owasp-webgoat
OWASP ZAP – 嵌入到docker容器中的owasp zed攻击稳定版本。
docker pull owasp/zap2docker-stable
Security Ninjas – 一个开源的应用安全培训计划.
docker pull opendns/security-ninjas
Vulnerability as a service: Heartbleed – 漏洞即服务: CVE 2014-0160.
docker pull hmlio/vaas-cve-2014-0160
Vulnerability as a service: Shellshock – 漏洞即服务: CVE 2014-6271.
docker pull hmlio/vaas-cve-2014-6271
WPScan – WPScan 是一个黑盒的WordPress漏洞扫描工具.
docker pull wpscanteam/wpscan
取证
文件取证
Autopsy – 一个数字取证平台和图形接口用于侦察工具和其他数字取证工具。
DFF – 一个取证框架既有命令行又有图形界面。DFF能够审查硬盘和易失性内存然后生成用户的系统活动报告。
Hadoop_framework -用 Hadoop开发的用于处理硬盘镜像的原型系统。
Scalpel – 一个开源的数据分割工具.
Sleuthkit – 一个数字取证的库和命令行集合
在线分析
OS X Auditor – OS X Auditor是一个免费的 Mac OS X 计算机取证工具.
内存取证
Rekall – Google开发的内存分析框架.
Volatility – 提取易失性内存(RAM)中的样本.
移动
Android Forensic Toolkit – 允许你从安卓手机中提取短信记录,通话记录,照片,浏览历史,以及密码。
网络取证
Dshell –一个网络取证分析框架.
Passivedns –一个网络嗅探工具能够记录所有的DNS响应和被动DNS
其他
HxD – 十六进制编辑工具, 能够修改任意大小的硬盘二进制数据,内存,文件句柄
威胁情报
VIA4CVE – 一个已知漏洞数据库的集合支持CVEs的扩展信息。
库
C
Libdnet – 提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。
Java
Libsignal-service-java – 一个用于与信号发送服务通信的Java/Android库。
Python
Dpkt – 快速简单的包创建/解析工具,基于TCP/IP协议定义。
Pcapy – 一个python的扩展模块,提供libpcap包捕获库接口。Pcapy让python 脚本能够在网络中抓取报文. Pcapy与Impacket一起使用时效率很高, 提供一系列python类来解析和构造网络包。
PyBFD – GNU 二进制文件描述符(BFD) 库的python接口.