首页 > 其他分享 >安全渗透测试工具整理_vajra自动化渗透测试

安全渗透测试工具整理_vajra自动化渗透测试

时间:2024-08-29 23:22:14浏览次数:11  
标签:github 渗透 扫描 漏洞 vajra https 测试工具 工具 com

web端的在线漏洞扫描:https://github.com/Skycrab/leakScan

https://github.com/zhangzhenfeng/AnyScan

FuzzScanner: https://github.com/TideSec/FuzzScanner

TrackRay: https://github.com/iSafeBlue/TrackRay

自动漏洞扫描器,子域名爆破,端口扫描,目录爆破,常用框架漏洞检测: https://github.com/az0ne/AZScanner

集合owasp top10漏洞扫描和边界资产发现能力的分布式web漏洞扫描框架: https://github.com/blackye/lalascan

BkScanner分布式,插件化web漏洞扫描器: https://github.com/blackye/BkScanner

ysrc出品的被动式漏洞扫描工具: https://github.com/ysrc/GourdScanV2

基于http代理的web漏洞扫描器: https://github.com/netxfly/passive_scan

自动化扫描器,包括中间件扫描以及设备指纹识别: https://github.com/1N3/Sn1per

定向全自动化渗透测试工具: https://github.com/RASSec/pentestEr_Fully-automatic-scanner

自动化渗透测试框架,支持cdn真实ip查找,指纹识别等: https://github.com/3xp10it/3xp10it

蟒插件化漏洞扫描器,支持生成扫描报表: https://github.com/Lcys/lcyscan

渗透测试插件化并发框架: https://github.com/Xyntax/POC-T

支持检测SQLI / XSS / LFI / RFI等漏洞的扫描器: https://github.com/v3n0m-Scanner/V3n0M-Scanner

Web图形化的漏洞扫描框架: https://github.com/Skycrab/leakScan

一款网络化的自动化渗透测试框架: https://github.com/zhangzhenfeng/AnyScan

一款集成信息收集,漏洞扫描,指纹识别等的多合一扫描工具: https://github.com/Tuhinshubhra/RED_HAWK

高度集成化的Web应用漏洞扫描框架,支持REST,RPC等api调用: https://github.com/Arachni/arachni

集成化渗透测试辅助平台及漏洞管理平台: https://github.com/infobyte/faraday

渗透测试集成框架,包含超过38,000+攻击: https://github.com/juansacco/exploitpack

基于铬/歌剧插件的被动式漏洞扫描: https://github.com/swisskyrepo/DamnWebScanner

支持多种网络漏洞扫描,命令行环境使用: https://github.com/anilbaranyelken/tulpar

web应用扫描器,支持指纹识别,文件目录爆破,SQL / XSS / RFI等漏洞扫描,也可直接用于struts,ShellShock等扫描: https://github.com/m4ll0k/Spaghetti

集成子域名枚举,nmap,waf指纹识别等模块的web应用扫描器: https://github.com/Yukinoshita47/Yuki-Chan-The-Auto-Pentest

使用ruby开发的扫描网络中主机存在的第三方web应用服务漏洞: https://github.com/0xsauby/yasuo

Web应用自动化扫描框架,支持自动化上传webshell: https://github.com/hatRiot/clusterd

一款开源Poc调用框架,可轻松调用Pocsuite,Tangscan,Beebeeto,Knowsec老版本POC,可使用docker部署: https://github.com/erevus-cn/pocscan

斗象能力中心出品并长期维护的开源漏洞检测框架: https://github.com/TophantTechnology/osprey

Web应用漏洞扫描框架: https://github.com/yangbh/Hammer

Web应用漏洞扫描框架,基于python3: https://github.com/Lucifer1993/AngelSword

被动式漏洞扫描,支持历史cve编号漏洞识别: https://github.com/secrary/EllaScanner

OWASP ZAP核心项目出品的综合性渗透测试工具: https://github.com/zaproxy/zaproxy

Web服务综合型扫描器,用于指定目标的资产收集,安全配置缺陷或者安全漏洞扫描: https://github.com/sullo/nikto

一款多方位信息收集,指纹识别及漏洞扫描工具: https://github.com/s0md3v/Striker

一款web应用漏洞扫描器,支持扫描反射型以及存储型xss,sql injection等漏洞,支持输出pdf报告: https://github.com/dermotblair/webvulscan

渗透测试辅助工具,综合利用框架: https://github.com/alienwithin/OWASP-mth3l3m3nt-framework

基于被动式扫描框架的自动化web漏洞扫描工具: https://github.com/toyakula/luna

渗透测试辅助框架,包含信息搜集,无线渗透,网络应用扫描等功能: https://github.com/Manisso/fsociety

内置1200+插件的web漏洞扫描框架: https://github.com/boy-hack/w9scan

Web服务安全评估工具,提供基于windows操作系统的简单.exe应用: https://github.com/YalcinYolalan/WSSAT

使用去开发的可扩展以及高并发渗透测试框架: https://github.com/AmyangXYZ/AssassinGo

基于Flask应用框架的漏洞扫描系统: https://github.com/jeffzh3ng/InsectsAwake

一个操作上类似metasploit的web应用安全审计框架: https://github.com/m4ll0k/Galileo

一款web应用漏洞扫描器,支持扫描反射型以及存储型xss,sql injection等漏洞: https://github.com/joker25000/Optiva-Framework

集成104个模块的Web应用程序渗透测试框架: https://github.com/theInfectedDrake/TIDoS-Framework

内网安全渗透测试工具集

企业内网渗透脚本,包括banner扫描、端口扫描;各种通用漏洞利用等:https://github.com/0xwindows/VulScritp

基于网络流量的内网探测框架:https://github.com/lcatro/network_backdoor_scanner

调用 Windows API 枚举用户登录信息:https://github.com/fdiskyou/hunter

自动化利用XSS入侵内网:https://github.com/BlackHole1/WebRtcXSS

本机密码查看提取工具:https://github.com/AlessandroZ/LaZagne

linux密码抓取神器:https://github.com/huntergregal/mimipenguin

基于网络流量的内网探测框架: https://github.com/lcatro/network_backdoor_scanner

调用Windows API枚举用户登录信息: https://github.com/fdiskyou/hunter

自动化利用XSS入侵内网: https://github.com/BlackHole1/WebRtcXSS

基于BBScan via.lijiejie的本地网络扫描: https://github.com/sowish/LNScan

基于JavaScript的的本地网络扫描: https://github.com/SkyLined/LocalNetworkScanner

企业网络自检

详细的内部网络信息扫描器:https://github.com/sowish/LNScan

javascript实现的本地网络扫描器:https://github.com/SkyLined/LocalNetworkScanner

网络资产识别引擎,漏洞检测引擎:https://github.com/ysrc/xunfeng

企业被搜索引擎收录敏感资产信息监控脚本:员工邮箱、子域名、Hosts:https://github.com/laramies/theHarvester

搜索引擎聚合搜索,可用于发现企业被搜索引擎收录的敏感资产信息:https://github.com/x0day/Multisearch-v2

网络资产识别引擎,漏洞检测引擎: https://github.com/ysrc/xunfeng

企业被搜索引擎收录敏感资产信息监控脚本:员工邮箱,子域名,主持人: https://github.com/laramies/theHarvester

Bing,google,360,zoomeye 等搜索引擎聚合搜索,可用于发现企业被搜索引擎收录的敏感资产信息: https://github.com/x0day/Multisearch-v2

能成抓取搜索引擎隐藏的url,并交由sqlmap,nmap扫描: https://github.com/Ekultek/Zeus-Scanner

企业内网基础服务安全扫描框架: https://github.com/0xbug/Biu-framework

github Repo信息搜集工具: https://github.com/metac0rtex/GitHarvester

.svn文件夹泄漏利用工具: https://github.com/shengqi158/svnhack

GitHub敏感信息扫描工具: https://github.com/repoog/GitPrey

企业资产,敏感信息GitHub泄露监控系统: https://github.com/0xbug/Hawkeye

根据企业关键词进行项目检索以及相应敏感文件和文件内容扫描的工具: https://github.com/lianfeng30/githubscan

github敏感信息搜索工具: https://github.com/UnkL4b/GitMiner

.git文件夹泄漏利用工具: https://github.com/lijiejie/GitHack

GitHub敏感信息扫描工具,包括检测提交等: https://github.com/dxa4481/truffleHog

自动化对指定域名进行Google hacking搜索并收集信息: https://github.com/1N3/Goohak

用于搜索git的承诺中的敏感信息,例如密码,私钥等的客户端工具: https://github.com/UKHomeOffice/repo-security-scanner

Github敏感信息泄露扫描: https://github.com/FeeiCN/GSIL

Github泄露巡航工具: https://github.com/MiSecurity/x-patrol

Web站点信息搜集工具,包括邮箱,电话等信息: https://github.com/1N3/BlackWidow

集合多个开源GitHub敏感信息扫描的企业信息泄露巡航工具: https://github.com/anshumanbh/git-all-secrets

可以提取网址,电子邮件,文件,网站帐户等的高速爬虫: https://github.com/s0md3v/Photon

弱口令或信息泄漏扫描

一个简单的HTTP暴力破解、撞库攻击脚本:https://github.com/lijiejie/htpwdScan

一个迷你的信息泄漏批量扫描脚本:https://github.com/lijiejie/BBScan

.git文件夹泄漏利用工具:https://github.com/lijiejie/GitHack

基于字典的目录扫描小工具:https://github.com/LoRexxar/BScanner

各种端口及弱口令检测,作者wilson9x1,原地址失效:https://github.com/she11c0der/fenghuangscanner_v3

对各类服务进行弱口令检测的脚本:https://github.com/ysrc/F-Scrack

根据用户习惯生成弱口令探测字典脚本:https://github.com/Mebus/cupp

中国特色的弱口令生成器:https://github.com/RicterZ/genpAss

go写的协程版的ssh\redis\mongodb弱口令破解工具:https://github.com/netxfly/crack_ssh

通过输入email、phone、username的返回用户注册的所有互联网护照信息:https://github.com/n0tr00t/Sreg

GitHub敏感信息扫描工具:https://github.com/repoog/GitPrey

GitHub敏感信息扫描工具,包括检测commit等:https://github.com/dxa4481/truffleHog

暴力破解字典建立工具:https://github.com/LandGrey/pydictor

xxe漏洞递归下载工具:https://github.com/GDSSecurity/xxe-recursive-download

xxe在线生成利用工具:https://buer.haus/xxegen/

一个简单的HTTP暴力破解,撞库攻击脚本: https://github.com/lijiejie/htpwdScan

对各类服务进行弱口令检测的脚本: https://github.com/ysrc/F-Scrack

根据用户习惯生成弱口令探测字典脚本: https://github.com/Mebus/cupp

Go写的协程版的ssh \ redis \ mongodb弱口令破解工具: https://github.com/netxfly/crack_ssh

暴力破解字典建立工具: https://github.com/LandGrey/pydictor

多线程探测弱口令: https://github.com/shengqi158/weak_password_detect

支持测试CSRF,Clickjacking,Cloudflare和WAF的弱口令探测器: https://github.com/s0md3v/Blazy

对CiscoVPN,Citrix Gateway等各类服务进行弱口令检测的脚本: https://github.com/MooseDojo/myBFF

社工库

邮箱

https://haveibeenpwned.com/

免费社工库查询的网站 | 厘米天空

xiaoanrui.com -

http://ww1.qqqun.org/?subid1=16d504fe-3fbe-11e9-9e07-b1a27d263d9b

https://infotracer.com/email-lookup/

Free Reverse Phone Lookup - Cell Phone or Landline | Spy Dialer

电话号码查询、号码认证、号码举报中心

Username Search | Search Dating Sites | Find User Profiles

https://hunter.io

https://pipl.com/search/

黑客

http://www.hac-ker.com/index.php

http://www.hackerschina.org/

网站

你注册过哪些网站?一搜便知 - REG007

推特

https://tweettunnel.com/

https://ja.whotwi.com/hqsb2

http://www.twitur.com

http://twicountry.org/u/kwzwz

企业

香港公司搜索/Hong Kong Company Search - 香港最新成立/注册及已更名的公司名单 | 香港數據庫集 / Hong Kong Datasets

Search organisations for:

香港导航网站

http://im123.com

香港公司名录

https://www.hkcompanydir.com/

http://www.hkcompanycheck.com/

GovHK: Advanced Search

英国企业名录

https://www.gbrbusiness.com/

国家企业信用信息公示系统

http://www.gsxt.gov.cn/index.html

个人信用查询搜索

https://www.creditchina.gov.cn/

佛教名单

http://www.rushiwowen.org/jymd/?index=2017

灾难危机与佛教慈善事业暨第二届宗教与公益事业论坛

中国禁闻网

https://www.bannedbook.org

自由百科

https://zh-yue.wikipedia.org/wiki

中国人权

https://www.hrichina.org/chs/topic/rights-defenders

靶场:

靶场测试系列(已办清单) - hac425 - 博客园

VulnHub|渗透测试入门(一) - 安全客,安全资讯平台

VulnHub渗透实战Billu_b0x - FreeBuf网络安全行业门户

常见渗透测试靶场系统_tasty-CSDN博客_常见靶场

船公司博客:

Category » 船公司联系方式 « @ 船公司博客

Search results » CMA« @ 船公司博客

航运公司简介:

船东介绍-广州海远国际物流有限公司

安全论坛:

安全站点导航(感谢backlion整理) - T00ls.Com

web安全学习笔记:

Web安全学习笔记 — Web安全学习笔记 1.0 文档

乌云漏洞库

https://shuimugan.com/bug/view?bug_no=64260

数据库防火墙

DBShield by nim4

数据库扫描及注入

注入工具之王sqlmap:https://github.com/sqlmapproject/sqlmap

一款基于SQLMAP和Charles的被动SQL注入漏洞扫描工具:https://github.com/0xbug/SQLiScanner

99行代码实现的sql注入漏洞扫描器:https://github.com/stamparm/DSSS

一款针对mongoDB的攻击工具:https://github.com/youngyangyang04/NoSQLAttack

SQL盲注利用框架:https://github.com/Neohapsis/bbqsql

攻击SQLSERVER的Powershell脚本框架:https://github.com/NetSPI/PowerUpSQL

又一款数据库扫描器:https://github.com/WhitewidowScanner/whitewidow

MongoDB审计及渗透工具:https://github.com/stampery/mongoaudit

注入点命令执行利用工具:https://github.com/commixproject/commix

一款基于SQLMAP和查尔斯的被动SQL注入漏洞扫描工具:https://github.com/0xbug/SQLiScanner

99行代码实现的sql注入漏洞扫描器:https://github.com/stamparm/DSSS

针对各种情况自由变化的MySQL注入脚本:https://github.com/LoRexxar/Feigong

一款针对MongoDB中的攻击工具:https://github.com/youngyangyang04/NoSQLAttack

SQL盲注利用框架:https://github.com/Neohapsis/bbqsql

攻击SQLSERVER的Powershell的脚本框架:https://github.com/NetSPI/PowerUpSQL

一款数据库扫描器:https://github.com/WhitewidowScanner/whitewidow

MongoDB审计及渗透工具:https://github.com/stampery/mongoaudit

NoSQL扫描/爆破工具:https://github.com/torque59/Nosql-Exploitation-Framework

MySQL盲注爆破工具:https://github.com/missDronio/blindy

基于SQLMAP的主动和被动资源发现的漏洞扫描工具:https://github.com/fengxuangit/Fox-scan

用于SQL Server审计的powershell脚本:https://github.com/NetSPI/PowerUpSQL

用于http header中的时间盲注爆破工具,仅针对MySQL / MariaDB:https://github.com/JohnTroony/Blisqy

Java编写的SQL注入工具:https://github.com/ron190/jsql-injection

基于搜索引擎的批量SQL注入漏洞扫描器:https://github.com/Hadesy2k/sqliv

在sqlmap基础上增加了目录扫描,hash爆破等功能:https://github.com/s0md3v/sqlmate

Mysys以及MSSQL爆破脱裤工具:https://github.com/m8r0wn/enumdb

批量查询网站在乌云是否存在忽略的sql注入漏洞并自动调用sqlmap测试:https://github.com/9tail123/wooscan

无线网络渗透审计

无线安全审计工具:https://github.com/savio-code/fern-wifi-cracker/

Python网络/渗透测试工具:https://github.com/m4n3dw0lf/PytheM

无线安全渗透测试套件:https://github.com/P0cL4bs/WiFi-Pumpkin

无线安全审计工具: https://github.com/savio-code/fern-wifi-cracker/

Python网络/渗透测试工具: https://github.com/m4n3dw0lf/PytheM

无线安全渗透测试套件: https://github.com/P0cL4bs/WiFi-Pumpkin

无线网络审计工具,支持2-5GHZ频段: https://github.com/MisterBianco/BoopSuite

ARP欺骗,无线网络劫持: https://github.com/DanMcInerney/LANs.py

检查wifi是否是“大菠萝”所开放的热点,并给予网络评分: https://github.com/besimaltnok/PiFinger

自动化无线网络攻击工具wifite的重构版本: https://github.com/derv82/wifite2

物联网设备扫描

物联网设备默认密码扫描检测工具:https://github.com/rapid7/IoTSeeker

使用nmap扫描IoT设备:https://github.com/shodan-labs/iotdb

路由器漏洞扫描利用:https://github.com/jh00nbr/Routerhunter-2.0

路由器漏洞利用框架:https://github.com/reverse-shell/routersploit

telnet服务密码撞库:https://github.com/scu-igroup/telnet-scanner

打印机攻击框架:https://github.com/RUB-NDS/PRET

物联网设备默认密码扫描检测工具: https://github.com/rapid7/IoTSeeker

使用nmap扫描IoT设备: https://github.com/shodan-labs/iotdb

路由器设备漏洞扫描利用: https://github.com/googleinurl/RouterHunterBR

Telnet服务密码撞库: https://github.com/scu-igroup/telnet-scanner

自动化信息搜集及渗透测试工具,比较适用于IoT扫描: https://github.com/viraintel/OWASP-Nettacker

嵌入式设备漏洞扫描及利用工具: https://github.com/threat9/routersploit

针对性漏洞测试工具

java反序列化利用工具集:https://github.com/brianwrf/hackUtils

java反序列化利用工具:https://github.com/frohoff/ysoserial

Jenkins漏洞探测、用户抓取爆破:https://github.com/blackye/Jenkins

discuz漏洞扫描:https://github.com/code-scan/dzscan

CMS攻击框架:https://github.com/chuhades/CMS-Exploit-Framework

IIS短文件名漏洞扫描:https://github.com/lijiejie/IIS_shortname_Scanner

flashxss扫描:https://github.com/riusksk/FlashScanner

服务器端模板注入漏洞的半自动化工具:https://github.com/coffeehb/SSTIF

服务器端模板注入漏洞检测与利用工具:https://github.com/epinna/tplmap

docker扫描工具:https://github.com/cr0hn/dockerscan

借助DNS解析来检测Java反序列化漏洞工具:https://github.com/GoSecure/break-fast-serial

脏牛提权漏洞exp:https://github.com/dirtycow/dirtycow.github.io

Jenkins漏洞探测,用户抓取爆破: https://github.com/blackye/Jenkins

首款集成化的Discuz扫描工具: https://github.com/code-scan/dzscan

一款简洁优雅的CMS扫描利用框架: https://github.com/chuhades/CMS-Exploit-Framework

IIS短文件名暴力枚举漏洞利用工具: https://github.com/lijiejie/IIS_shortname_Scanner

flashxss扫描: https://github.com/riusksk/FlashScanner

一个起毛服务器端模板注入漏洞的半自动化工具: https://github.com/coffeehb/SSTIF

服务器端模板注入漏洞检测与利用工具: https://github.com/epinna/tplmap

Docker扫描工具: https://github.com/cr0hn/dockerscan

一款精简的wordpress扫描工具: https://github.com/m4ll0k/WPSeku

集成化wordpress漏洞利用框架: https://github.com/rastating/wordpress-exploit-framework

标签:github,渗透,扫描,漏洞,vajra,https,测试工具,工具,com
From: https://blog.csdn.net/m0_55035988/article/details/141659391

相关文章

  • 看完这篇 教你玩转渗透测试靶机Vulnhub——DriftingBlues-1_vulnhub-靶机
    Vulnhub靶机DriftingBlues-1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机漏洞详解:①:信息收集:②:目录爆破:③:暴力破解:④:提权:⑤:获取flag:Vulnhub靶机渗透总结:Vulnhub靶机介绍:vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开......
  • WEB渗透Win提权篇-提权工具合集
      提权工具合集包(免费分享): 夸克网盘分享 往期文章WEB渗透Win提权篇-提权工具合集-CSDN博客WEB渗透Win提权篇-RDP&Firewall-CSDN博客WEB渗透Win提权篇-MSSQL-CSDN博客WEB渗透Win提权篇-MYSQL-udf-CSDN博客WEB渗透Win提权篇-AccountSpoofing-CSDN博客WEB渗透Win提权篇......
  • APP稳定性测试工具-monkey
    monkey是adbshell中的一个命令行工具,用于执行随机的用户事件(如触摸、点击、滑动、键盘输入等)来测试应用程序的稳定性。安装下载并安装AndroidSDK配置环境变量,将adb所在路径添加到系统环境变量中验证安装adbversion使用1.启动Android设备或模拟器查看已连接设......
  • 渗透基础知识
    POC:利用/证明代码,发现漏洞   EXP:留下漏洞攻击木马:留下,操作控制电脑        病毒:破坏性,正常文件无法打开 payload:有效负载,真正需要执行的代码,管道PoC通常是无害的,Exp通常是有害的,有了POC,才有EXP。Payload有很多种,它可以是Shellcode,也可以直接是一段系......
  • 基于源代码泄露安全渗透测试
    基于源代码泄露安全渗透测试   某小型互联网公司,自述公司“专注于互联网领域,在互联网行业经过14年的发展,现已拥有一支强大的专业团队。”但今天我们进行初步web渗透过程,发现存在严重安全漏洞,详细如下一.动态扫描网站入口通过企查查查询该公司基本工商信息,通过官网发现与获取......
  • rados bench性能测试工具介绍
    radosbench性能测试工具介绍radosbench介绍Ceph包含radosbench命令,用于在RADOS存储群集上执行性能基准测试。命令将执行写入测试,以及两种类型的读测试。在测试读取和写入性能时,--no-cleanup选项非常重要。默认情况下,radosbench命令会删除它写入存储池的对象。保留这......
  • 对于初创电商公司来说,选择API测试工具时应该考虑哪些因素?
    成本效益:初创公司通常预算有限,因此需要考虑工具的购买成本或订阅费用。寻找提供免费版本或社区版的工具,这些版本可能已经满足基本需求。易用性:选择学习曲线较低的工具,以便团队成员可以快速上手。界面友好和直观的工具可以减少培训时间和成本。功能性:确保所选工具支持所需......
  • 好用的电商API接口测试工具有什么推荐吗?
    电商API接口测试工具推荐:提升开发效率,保障数据质量在电商领域,API接口的稳定性和可靠性至关重要。选择合适的测试工具可以帮助开发者快速发现问题,优化接口性能,从而提升用户体验和业务效率。本文将推荐几款好用的电商API接口测试工具,并探讨它们的特点和优势。一、PostmanPostman......
  • 深信服安全服务认证工程师(SCSA-S)系列课程——渗透测试环境搭建与工具使用-Nmap
    Nmap简介Nmap是Linux下一款开源免费的网络发现(NetworkDiscovery)和安全审计(SecurityAuditing)工具,软件名字Nmap是NetworkMapper的简称。Nmap最初由Fyodor在1996年开始创建,随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行的安全必备工具之一。Nmap使用原始......
  • 【API渗透】资料集合
    今天给大家分享一些非常优质的API渗透测试学习资源。主要包含以下内容:API概述及其分类API渗透测试优质文章API渗透资料聚合项目国外免费的API安全课程API渗透检查列表ChecklistAPI测试字典开源API安全靶场常用API渗透测......