漏洞及渗透练习平台

最新推荐文章于 2024-04-10 11:20:30 发布
最新推荐文章于 2024-04-10 11:20:30 发布
阅读量3.8k 收藏 20
点赞数 1

漏洞及渗透练习平台:

WebGoat漏洞练习环境

https://github.com/WebGoat/WebGoat
https://github.com/WebGoat/WebGoat-Legacy

Damn Vulnerable Web Application(漏洞练习平台) https://github.com/RandomStorm/DVWA

数据库注入练习平台 https://github.com/Audi-1/sqli-labs

用node编写的漏洞练习平台,like OWASP Node Goat https://github.com/cr0hn/vulnerable-node

花式扫描器 : 端口扫描器Nmap https://github.com/nmap/nmap

本地网络扫描器 https://github.com/SkyLined/LocalNetworkScanner

子域名扫描器 https://github.com/lijiejie/subDomainsBrute

漏洞路由扫描器 https://github.com/jh00nbr/Routerhunter-2.0

迷你批量信息泄漏扫描脚本 https://github.com/lijiejie/BBScan

Waf类型检测工具 https://github.com/EnableSecurity/wafw00f

信息搜集工具 : 社工插件,可查找以email、phone、username的注册的所有网站账号信息 https://github.com/n0tr00t/Sreg

Github信息搜集,可实时扫描查询git最新上传有关邮箱账号密码信息 https://github.com/sea-god/gitscan

github Repo信息搜集工具 https://github.com/metac0rtex/GitHarvester

WEB: webshell大合集 https://github.com/tennc/webshell

渗透以及web攻击脚本 https://github.com/brianwrf/hackUtils

web渗透小工具大合集 https://github.com/rootphantomer/hack_tools_for_me

XSS数据接收平台 https://github.com/firesunCN/BlueLotus_XSSReceiver

XSS与CSRF工具 https://github.com/evilcos/xssor

Short for command injection exploiter,web向命令注入检测工具 https://github.com/stasinopoulos/commix

数据库注入工具 https://github.com/sqlmapproject/sqlmap

Web代理,通过加载sqlmap api进行sqli实时检测 https://github.com/zt2/sqli-hunter

新版中国菜刀 https://github.com/Chora10/Cknife

.git泄露利用EXP https://github.com/lijiejie/GitHack

浏览器攻击框架 https://github.com/beefproject/beef

自动化绕过WAF脚本 https://github.com/khalilbijjou/WAFNinja

http命令行客户端,可以从命令行构造发送各种http请求(类似于Curl) https://github.com/jkbrzt/httpie

浏览器调试利器 https://github.com/firebug/firebug

一款开源WAF https://github.com/SpiderLabs/ModSecurity

windows域渗透工具: windows渗透神器 https://github.com/gentilkiwi/mimikatz

Powershell渗透库合集 https://github.com/PowerShellMafia/PowerSploit

Powershell tools合集 https://github.com/clymb3r/PowerShell

Fuzz: Web向Fuzz工具 https://github.com/xmendez/wfuzz

HTTP暴力破解,撞库攻击脚本 https://github.com/lijiejie/htpwdScan

漏洞利用及攻击框架: msf https://github.com/rapid7/metasploit-framework

Poc调用框架,可加载Pocsuite,Tangscan,Beebeeto等 https://github.com/erevus-cn/pocscan

Pocsuite https://github.com/knownsec/Pocsuite

Beebeeto https://github.com/n0tr00t/Beebeeto-framework

漏洞POC&EXP: ExploitDB官方git版本 https://github.com/offensive-security/exploit-database

php漏洞代码分析 https://github.com/80vul/phpcodz

Simple test for CVE-2016-2107 https://github.com/FiloSottile/CVE-2016-2107

CVE-2015-7547 POC https://github.com/fjserna/CVE-2015-7547

JAVA反序列化POC生成工具 https://github.com/frohoff/ysoserial

JAVA反序列化EXP https://github.com/foxglovesec/JavaUnserializeExploits

Jenkins CommonCollections EXP https://github.com/CaledoniaProject/jenkins-cli-exploit

CVE-2015-2426 EXP (windows内核提权) https://github.com/vlad902/hacking-team-windows-kernel-lpe

use docker to show web attack(php本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示)
https://github.com/hxer/vulnapp

php7缓存覆写漏洞Demo及相关工具
https://github.com/GoSecure/php7-opcache-override

XcodeGhost木马样本 https://github.com/XcodeGhostSource/XcodeGhost

中间人攻击及钓鱼 中间人攻击框架
https://github.com/secretsquirrel/the-backdoor-factory
https://github.com/secretsquirrel/BDFProxy
https://github.com/byt3bl33d3r/MITMf

Inject code, jam wifi, and spy on wifi users https://github.com/DanMcInerney/LANs.py

可扩展的中间人代理工具 https://github.com/intrepidusgroup/mallory

wifi钓鱼 https://github.com/sophron/wifiphisher

密码破解: 密码破解工具 https://github.com/shinnok/johnny

本地存储的各类密码提取利器 https://github.com/AlessandroZ/LaZagne

二进制及代码分析工具: 二进制分析工具 https://github.com/devttys0/binwalk

系统扫描器,用于寻找程序和库然后收集他们的依赖关系,链接等信息 https://github.com/quarkslab/binmap

Windows Exploit Development工具 https://github.com/lillypad/badger

二进制静态分析工具(python) https://github.com/bdcht/amoco

Python Exploit Development Assistance for GDB https://github.com/longld/peda

对BillGates Linux Botnet系木马活动的监控工具 https://github.com/ValdikSS/billgates-botnet-tracker

木马配置参数提取工具 https://github.com/kevthehermit/RATDecoders

Shellphish编写的二进制分析工具(CTF向) https://github.com/angr/angr

针对python的静态代码分析工具 https://github.com/yinwang0/pysonar2

一个自动化的脚本(shell)分析工具,用来给出警告和建议
https://github.com/koalaman/shellcheck

基于AST变换的简易Javascript反混淆辅助工具 https://github.com/ChiChou/etacsufbo

EXP编写框架及工具: 二进制EXP编写工具 https://github.com/t00sh/rop-tool

CTF Pwn 类题目脚本编写框架 https://github.com/Gallopsled/pwntools

an easy-to-use io library for pwning development https://github.com/zTrix/zio

跨平台注入工具( Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.) https://github.com/frida/frida

隐写: 隐写检测工具 https://github.com/abeluck/stegdetect

各类安全资料: 域渗透教程 https://github.com/l3m0n/pentest_study

python security教程(原文链接http://www.primalsecurity.net/tutorials/python-tutorials/) https://github.com/smartFlash/pySecurity

data_hacking合集 https://github.com/ClickSecurity/data_hacking

mobile-security-wiki https://github.com/exploitprotocol/mobile-security-wiki

书籍《reverse-engineering-for-beginners》 https://github.com/veficos/reverse-engineering-for-beginners

一些信息安全标准及设备配置 https://github.com/luyg24/IT_security

APT相关笔记 https://github.com/kbandla/APTnotes

Kcon资料 https://github.com/knownsec/KCon

ctf及黑客资源合集 https://github.com/bt3gl/My-Gray-Hacker-Resources

ctf和安全工具大合集 https://github.com/zardus/ctf-tools

《DO NOT FUCK WITH A HACKER》 https://github.com/citypw/DNFWAH

各类CTF资源 近年ctf writeup大全
https://github.com/ctfs/write-ups-2016
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2014

fbctf竞赛平台Demo https://github.com/facebook/fbctf

ctf Resources https://github.com/ctfs/resources

各类编程资源: 大礼包(什么都有) https://github.com/bayandin/awesome-awesomeness

bash-handbook https://github.com/denysdovhan/bash-handbook

python资源大全 https://github.com/jobbole/awesome-python-cn

git学习资料 https://github.com/xirong/my-git

安卓开源代码解析 https://github.com/android-cn/android-open-project-analysis

python框架,库,资源大合集 https://github.com/vinta/awesome-python

JS 正则表达式库(用于简化构造复杂的JS正则表达式) https://github.com/VerbalExpressions/JSVerbalExpressions

Python: python 正则表达式库(用于简化构造复杂的python正则表达式) https://github.com/VerbalExpressions/PythonVerbalExpressions

python任务管理以及命令执行库 https://github.com/pyinvoke/invoke

python exe打包库 https://github.com/pyinstaller/pyinstaller

py3 爬虫框架 https://github.com/orf/cyborg

一个提供底层接口数据包编程和网络协议支持的python库 https://github.com/CoreSecurity/impacket

python requests 库 https://github.com/kennethreitz/requests

python 实用工具合集 https://github.com/mahmoud/boltons

python爬虫系统 https://github.com/binux/pyspider

ctf向 python工具包 https://github.com/P1kachu/v0lt

小白白@
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jsrepair:js反混淆工具
05-29
该项目搬运自gitee -> jsRepair 修改自etacsufbo,原项目介绍见 增加三目运算符合逗号表达式混淆的反解逻辑 etacsufbo 'obfuscate'.split('').reverse().join('') 一个简易 Javascript 反混淆工具,基于抽象语法树分析和修改实现。 ** 注意:此项目包含真实恶意程序样本,可能会引起安全软件报告。** 快速上手 git clone https://github.com/ChiChou/etacsufbo.git 下载项目 cd eracsufbo 进入目录 npm i 安装依赖项目 ./cli.js path/to/obfuscated/script.js 输出反混淆结果 命令行参考 ./cli.js [混淆的代码] [输出文件名] 如省略输出文件名,程序将把清理结果输出到 stdout 如不带参数执行,将进入 RE
Js 的 混淆 与反混淆
键盘的起始页
11-19 2328
Js 混淆: https://obfuscator.io/ 功能很多,暂举两个: 1、Identifier Names Generator : 把变量、方法的名字变成 16进制(0xabc123) 或者 无意义的字母(a,b,c等) 2、String Array:把所有的字符串,抽取到一个数组中,调用的地方,通过一个方法算出index,然后到这个数组中取出字符串。 var _0x5a62 = ['log', 'Hello\x20World!']; var _0x5340 = func...
19个练习黑客技术的在线网站
最新发布
weixin_59191169的博客
04-10 853
攻击是最好的防御,也适用于信息安全的世界。这里列出了19个合法的黑客技术网站。无论你是开发人员、安全工程师、代码审计师还是渗透测试人员,你都可以通过不断的练习成为一名优秀的安全研究人员。
CTF writeup 1_网络安全实验室
热门推荐
Troy
10-26 31万+
基础关1.key在哪里? 过关地址打开网址 “key就在这里中,你能找到他吗? ” 看看源代码有没有线索~果然<html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> </head> <body> key就在这里中,你能找到他吗?
安恒月赛 image up
weixin_30900589的博客
11-30 542
http://101.71.29.5:10007/index.php?page=login 仔细观察这个url的话会发现,存在文件包含。 而且并没有login.php而是login,猜测代码是 <?php include str."php"; 随便账号密码就能登陆,来到了一个上传页面,只能上传图片,回头看看题目 这里的思路明确了,文件包含加图片马。 在这时间统一的世界里,上传图...
伪造XFF头绕过服务器IP过滤
weixin_34367845的博客
11-20 1221
IP伪造 TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。可以通过伪造XFF头进行IP伪造 XFF字段 X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。通俗来说,就是浏览器访问网站的IP。一般格式: X-Forwarded-For:...
漏洞渗透练习平台.docx
08-26
喜欢漏洞测试、复现、利用的可以看看哦
漏洞渗透练习平台.txt
06-09
漏洞渗透练习平台,适合学习渗透测试、ctf学习爱好者
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
渗透测试与漏洞分析技术.docx
04-12
渗透测试与漏洞分析技术】 渗透测试是一种网络安全评估方法,模拟黑客攻击行为,以发现并修复系统中的漏洞。这一过程通常由专业的安全专家——“正义黑客”或“白帽黑客”执行,他们遵循道德规范,确保测试活动...
30 天渗透测试练习2.pdf
10-06
渗透测试的目的是找出系统中的安全漏洞,防止真正的恶意攻击者利用这些漏洞进行非法活动。以下是给定内容中涉及的一些关键知识点: 1. **事件响应路径(Incident Responder Path)**:在网络安全事件发生时,了解...
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
渗透测试工具库-收藏版
baidu_38876334的博客
04-14 979
浩二一开始做渗透测试的时候收集超多的资料和工具,一直在文档里吃灰。对BillGates Linux Botnet系木马活动的监控工具。
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4362
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
XSS触发语句小结
7Riven's blog
01-01 2027
一、标准语句 <script>alert(/XSS/)</script> 二、尝试大小写 <sCript>alert(1)</scRipt> 三、使用<img>标签 1、windows事件 <img src="x" onerror=alert(1)> <img src="1" onerror=eval("...
十大渗透测试练习系统
weixin_55154866的博客
06-07 268
现在信息安全本科阶段能学到的东西真的是少之又少,课程上实操的机会更是几乎没有,使用下面这些渗透测试系统来练手是最好不过的了。ps:排名不分先后,点击名称既可下载,某些链接需要翻墙。DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。image。
CTF-Web-SQL注入
beihai2013
01-26 3119
题目目录参考https://ca01h.top/Web_security/ctf_writeup/8.buuctf%E5%88%B7%E9%A2%98%E2%80%94%E2%80%94XSS/ 随便注 题目来源:强网杯2019 题目链接:https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 考察:堆叠注入,sql的show语句,sql的预编译,sql修改表 参考:https:/
安恒12月赛Web题解
0verWatch的博客
12-22 2867
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
绕过阿里云盾进行XSS
weixin_34221036的博客
11-16 2545
Payload如下所示: 1 <imgsrc=#onerror=alert`2`> 本文转自fatshi51CTO博客,原文链接:http://blog.51cto.com/duallay/1944532,如需转载请自行联系原作者 ...
pikachu漏洞练习
10-20
Pikachu是一个带有漏洞的Web应用系统,它包含了常见的web安全漏洞,可以作为Web渗透测试学习人员进行练习的靶场。Pikachu的安装非常简单,可以使用官方给出的docker部署方式部署。此外,Pikachu漏洞练习环境可以直接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值