- 博客(475)
- 资源 (50)
- 收藏
- 关注
RSS订阅原创 Cloudflare 的 Web 应用程序防火墙 (WAF) 中存在一个严重的零日漏洞
Cloudflare 的 Web 应用程序防火墙 (WAF) 中存在一个严重的零日漏洞,攻击者可以利用该漏洞绕过安全控制,并通过证书验证路径直接访问受保护的源服务器。或者,当 .well-known 远远超出 WAF 的范围。几乎所有现代网站上都存在一个专为机器而非人类设计的 URL。它位于下,在证书颁发期间的几秒钟内,一个机器人会访问它来检查你是否真正控制该域名。这个访问本应是平淡无奇的,一项例行无声的任务。但在这种情况下,这个安静的路径变得非常喧闹!
2026-01-21 19:28:05
605
原创 一款专业的多协议安全测试工具
MPET (Multi-Protocol Exploitation Toolkit) 是一款专业的多协议安全测试工具,基于 Wails 框架构建的现代化桌面应用。它提供了对 25+ 种主流服务协议的连接测试、未授权访问检测、弱口令检测和漏洞利用能力,是安全研究人员和渗透测试工程师的得力助手。
2026-01-20 22:17:17
740
原创 微信小程序wxapkg包一键自动解密+批量解包+API接口提取+敏感数据泄露检测
支持微信最新版,可解大部分微信小程序wxapkg包,一键自动解密+批量解包+API接口提取+敏感数据泄露检测,Burp可视化操作,配置自动保存!
2026-01-20 21:29:33
319
原创 FlowEye是一款专为安全测试人员打造的 Web 化被动漏洞扫描平台
FlowEye(流量之眼)是一款专为安全测试人员打造的 Web 化被动漏洞扫描平台。通过与 Burp Suite 无缝集成,FlowEye 能够实时接收并分析 HTTP 流量,自动进行多维度漏洞检测,帮助安全研究人员高效发现 Web 应用安全风险。
2026-01-19 22:49:26
366
原创 XSS 漏洞练习靶场,覆盖反射型、存储型、DOM 型、SVG、CSP、框架注入、协议绕过等多种场景
XSS-Sec 靶场项目是一个以“实战为导向”的 XSS 漏洞练习靶场,覆盖反射型、存储型、DOM 型、SVG、CSP、框架注入、协议绕过等多种场景。页面样式统一,逻辑清晰,适合系统化学习与教学演示。alert(1);
2026-01-18 19:38:33
581
原创 IP反查工具,能够快速查询指定IP/域名关联的所有网站
ReverseIP-CN 是一款专为中文网络环境优化的IP反查工具,能够快速查询指定IP/域名关联的所有网站,是网络安全检测、资产梳理的利器。
2026-01-18 19:27:08
67
原创 Burp Suite插件 | 高级HTTP头操作工具
changeHeaders是一个功能强大的Burp Suite扩展插件,允许安全专业人员和开发人员轻松修改HTTP请求头。通过添加/修改安全头来绕过安全限制使用不同的用户代理或引荐来源测试应用程序行为模拟来自不同来源或设备的请求自动化重复的请求头修改任务。
2026-01-11 21:14:36
331
原创 Webshell_Generate更新V1.2.6! | 各类webshell免杀,支持蚁剑、冰蝎、哥斯拉等
Webshell_Generate该工具没什么技术含量,学了一点javafx,使用jdk8开发出了几个简单功能用来管理webshell。页面比较low。工具整合并改写了各类webshell,支持各个语言的cmd、蚁剑、冰蝎、哥斯拉,又添加了实际中应用到的一些免杀技巧,以方便实际需要。
2026-01-08 17:22:23
373
原创 新一代Webshell 管理与后渗透平台
MatouWebshell 是一套基于 Vue 3 + Python 的 Webshell 管理与后渗透平台,面向授权的安全测试/红队演练。内置 Webshell 生成与连接能力,支持 Linux 目标下的 PHP、JSP、JSPX,并可自定义加密方式与请求/响应封装(form/json/xml/png 等),便于按业务流量形态进行伪装与兼容。
2026-01-07 16:47:47
562
原创 Burp Suite插件 | AI连接本地工具、数据库或远程 Agent,辅助安全测试
BurpAgent将大语言模型 (LLM) 和 MCP (Model Context Protocol) 引入 Burp Suite,使其能够连接本地工具、数据库或远程 Agent,辅助安全测试。自动解析执行结果。内置命令黑名单和执行确认机制。
2026-01-06 17:13:51
330
原创 一个针对 Windows Server 平台的本地提权工具
在 Windows Server 操作系统中,默认未安装“无线局域网服务”(Wireless LAN Service),导致系统目录下缺失文件。然而,以 SYSTEM 权限运行的 NetMan 服务在启动或枚举网卡时,依然会尝试加载该 DLL。由于 System32 中不存在该文件,Windows 加载器(Image Loader)会按照 DLL 搜索顺序,在系统环境变量%PATH%指定的目录中查找该文件。如果攻击者对%PATH%中的某个目录拥有写入权限,即可通过植入恶意的 DLL 实现代码执行并提权。
2026-01-06 16:54:29
803
原创 Burp Suite 插件 | 利用AI为复杂的 HTTP 请求自动生成 Fuzz 字典
Burp AI Fuzzer一个基于 AI 驱动的 Burp Suite 渗透测试辅助插件,旨在利用大语言模型(LLM)的上下文理解能力,为复杂的 HTTP 请求自动生成针对性的 Fuzz 字典。
2026-01-03 17:47:04
464
原创 Burp Suite 插件 | 支持1000+框架POC、支持动态加载POC、指定框架扫描
Rinte是一款专为渗透测试人员设计的 Burp Suite 插件,提供强大的自动化安全扫描功能。该插件集成了框架检测、漏洞扫描和敏感路径扫描等多种功能,帮助安全研究人员快速识别目标系统的安全漏洞。支持1000+框架POC、支持动态加载POC、指定框架扫描。作者:Revcloudi。
2026-01-03 17:10:28
261
原创 哥斯拉Godzilla定制化插件
CustomMemShellInjector,哥斯拉Godzilla定制化插件,接收恶意类Base64编码与恶意类类名进行实例化,达到注入任意类型内存马的目的。
2025-12-29 11:28:02
326
原创 一个功能强大的 Docker 远程 API 漏洞利用工具
CVE-2025-9074 Docker 容器命令执行工具,一个功能强大的 Docker 远程 API 漏洞利用工具,用于 CVE-2025-9074 漏洞的安全研究和测试。
2025-12-29 10:21:34
590
原创 一款轻量级的CTF/渗透测试Fuzz工具
一款轻量级的CTF/渗透测试Fuzz工具,专为URL/输入框的字符模糊测试设计,支持多编码方式、多线程、代理转发等功能,适配CTF竞赛和渗透测试中的字符注入检测场景。
2025-12-26 16:03:52
192
原创 DNSLOG,HTTPLOG无回显漏洞测试辅助平台
无回显漏洞测试辅助平台 (Spring Boot + Spring Security + Netty)平台使用Java编写,提供DNSLOG,HTTPLOG等功能,辅助渗透测试过程中无回显漏洞及SSRF等漏洞的验证和利用。
2025-12-26 11:43:42
309
原创 一个现代化的资产安全管理平台,致力于实现资产探测自动化与风险可视化
CyberRay是一个现代化的资产安全管理平台,致力于实现资产探测自动化与风险可视化。它打破了传统安全工具的碎片化痛点,利用高性能 Go 语言重构核心引擎,无缝集成子域名枚举、端口扫描、指纹识别及漏洞检测(Nuclei)能力。配合优雅的 Web 界面和数据大屏,帮助安全从业者快速梳理攻击面。
2025-12-24 20:18:39
362
原创 Burp Suite 插件 | SQL 注入自定义扫描和分析
SQL Injection Scout 是一个用于 Burp Suite 的扩展,专为帮助安全研究人员和开发人员检测和分析 SQL 注入漏洞而设计。该扩展提供了丰富的配置选项和直观的用户界面,便于用户自定义扫描和分析过程。
2025-12-23 17:12:13
420
原创 一款专为安全研究人员和渗透测试工程师设计的工具启动器
LaunchBox 是一款专为安全研究人员和渗透测试工程师设计的工具启动器,支持macOSWindows和Linux平台。通过统一的界面管理和快速启动各类安全工具,告别繁琐的命令行操作。
2025-12-21 22:59:21
179
原创 WebShell 管理平台
TL-NodeJsShell 是一个为安全专业人员和渗透测试人员设计的综合性 WebShell 管理平台。它提供了一个现代化的 Web 界面,用于管理基于 Node.js 的 Shell,具有内存马注入、命令执行、文件管理和代理支持等高级功能。
2025-12-18 22:16:44
297
原创 POC 漏洞检测模板管理工具
SerenNP Manager牛逼的 POC 漏洞检测模板管理工具基于 Go + Wails 构建,支持 Windows、macOS、Linux 多平台。
2025-12-17 16:10:36
264
原创 BypassAV通过Patch白文件实现Bypass,没有添加其他免杀手法
BypassAV通过Patch白文件实现Bypass,没有添加其他免杀手法,失效可能比较快。可以自行根据shellcode模板创建新版本。作者:Sakura529。
2025-12-17 15:47:18
295
原创 Bypass_Webshell webshell编码工具 支持 jsp net php asp编码免杀
webshell编码工具 支持 jsp net php asp编码免杀。
2025-12-16 11:32:57
226
原创 采用分离加载文件的方式实现静态免杀,从而降低静态检测风险
RemoteShellcode采用分离加载文件的方式实现静态免杀,从而降低静态检测风险。
2025-12-15 10:26:14
456
原创 爱站一键化权重查询v2.0
爱站一键化权重查询工具,已合并为单脚本,通过互斥参数-top-www-all决定查询顶级域名、www 域名或两者全部。本项目采用 Python3 编写,请使用 Python 3.8 及以上版本运行本项目。项目开发环境为:python3.8。
2025-12-14 21:45:07
548
原创 Redis 漏洞图形化利用工具
基于 Python 3 编写的 redis 漏洞图形化利用工具。⚠️ 注意: 主从复制命令执行会 清空 目标redis数据!!!!
2025-12-11 21:45:42
417
原创 CTF竞赛系统、知识竞赛系统、漏洞靶场练习系统
网络安全综合学习系统一个符合中文逻辑的网络安全综合学习系统。整合了贴合中文操作逻辑的CTF竞赛系统、知识竞赛系统、漏洞靶场练习系统、WIKI知识库管理系统、工具管理及招聘岗位发布等核心功能模块,全面覆盖竞赛组织、技能实训、知识沉淀、资源管理与人才对接等多元需求。目标:致力于共创、共享网络安全学习环境。目前CTF竞赛系统免费授权和使用,为了不必要了时间浪费,请您转至官方文档中心(https://www.secsnow.cn/wiki/subject/6/)查看安装及使用指导。
2025-12-11 20:46:04
198
原创 打点利器 | 全量OA漏洞利用工具最终版,漏洞数量470+
本次I-Wanna-Get-All版本为发布最终版,漏洞数量470+。R4gd0ll(1)增加List、JavaMSGenerator、Ysoserial、JeecgReportDatabase模块(2)优化漏洞检测方式,用友部分serial反序列化采用DNSLog与CmdEcho方式回显检测。(3)内置调用Dnslog平台接口并进行初始化,dnslog地址: http://www.dnslog.cn (若初始化失败以及未获取dnslog地址请检查网络情况,dns建议配置223.5.5.5)
2025-12-10 22:19:21
691
原创 黑客终端模拟器网页游戏
黑域侵入者(DarkNet Infiltrator)是一个沉浸式的黑客终端模拟器网页游戏。你将在霓虹绿色的虚拟主机系统中扮演渗透者,输入指令、突破防线、破解密码、解密文件,并在系统追踪到你时紧急反制。🔥 所有界面、动画、逻辑均为网页原生技术构建(HTML / CSS / JS / React)无需插件,即开即玩。
2025-12-09 21:09:14
546
原创 一款聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取、js资源扫描、目录扫描、vue组件扫描
superSearchPlus-Tools这是一款聚合型信息收集插件,支持综合查询,资产测绘查询,信息收集 敏感信息提取、js资源扫描、目录扫描、vue组件扫描,整合了目前常见的资产测绘平台,目前已有工具版和插件版,都可以进行下载使用。
2025-12-08 22:37:17
256
原创 致命精准的渗透测试利器 · 专为红队打造的集成化安全平台
Venom是专为渗透测试工程师和安全研究员设计的新一代集成化安全测试平台。在传统安全工具分散、操作复杂的痛点下,Venom 通过模块化设计将多种安全检测功能整合于统一界面,提供从资产发现到漏洞利用的全链路攻击模拟能力。
2025-12-07 19:20:00
1094
原创 Hessian反序列化利用工具
一款hessian反序列化利用工具,支持Hessian JDK原生利用链、Rome + JdbcRowSetImpl、Rome + TemplatesImpl + SignedObject 二次反序列化、Hessian Resin反序列化链。作者:LINGX5【利用链】:Hessian JDK原生利用链【利用链描述】:Hessian JDK原生利用链, 可以实现无依赖,不出网打内存马利用【利用链】:Rome + JdbcRowSetImpl。
2025-12-04 20:06:51
370
原创 浏览器存储桶配置漏洞检测插件 | 更新!
BucketTool 是一款浏览器扩展,用于检测主流云存储桶(如阿里云OSS、腾讯云COS、华为云OBS、AWS S3)常见的安全漏洞,包括遍历、未授权上传、ACL/Policy配置、桶接管等,由于之前BurpSuite插件更新需要考虑版本兼容性,因此改造为浏览器插件方便使用。
2025-11-29 15:51:58
340
原创 一款面向安全研究人员、红队与蓝队的本地化漏洞情报聚合与分析工具。
TL-ICScan 是由天禄实验室开发的一款面向安全研究人员、红队与蓝队的本地化漏洞情报聚合与分析工具。一句话原理解析:Python 负责“进货”,Rust 负责“管库”。Python (采集端):像勤劳的采购员,去 NVD、GitHub、Exploit-DB 等网站抓取最新的漏洞情报,并把它们“翻译”成统一格式。Rust (核心库):像高效的仓库管理员,负责把 Python 抓回来的海量数据快速存入本地数据库,并提供毫秒级的查询服务。Web UI (展示端)
2025-11-29 15:40:20
498
Windows_Server_2008_R2_AD、DNS、DHCP、WINS部署测试.pdf
2021-08-11
1_ccl link to intel(r) csme fw 11.8.78.3681 release notes.pdf
2022-05-13
Design considerations for hybrid applications.pdf
2022-05-13
enterprise-integration-e2e-case-management-utilities-azure-logic
2022-05-13
microsoft_azure_api_management_white_paper_20150520.pdf
2022-05-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人