Gadgetinspector Gadgetinspector是一款针对Java应用程序/库的字节码分析工具，它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链（Gadget Chain）。 该项目可以检查Java代码库和类路径中的Gadget链，而Gadget链可以被用来构造针对反序列化漏洞的漏洞利用技术。通过自动化识别和发现目标Java应用程序类路径中可能的Gadget链，渗透测试研究人员可以快速构...

Lazydocker Lazydocker是一款专为懒人设计的Docker以及Docker-Compose终端管理工具，该工具采用Go语言开发，基于gocui实现。 如果你发现自己的项目出了问题，或者是服务down掉了，那么Lazydocker就可以立刻给你提供帮助。Lazydocker可以帮助我们调试自己的项目或者服务，并且在出现问题时立刻重启所有组件，然后给我们提供详细的日志流。其中，日志流还会进行细项分类，并允...

Extended ssrf search Extended ssrf search是一款功能强大的SSRF智能漏洞扫描工具，该工具可以通过在请求中设置不同的预定义参数来搜索SSRF漏洞，这些参数包括路径、主机、Header、POST和GET参数。 工具下载 广大研究人员可以使用下列命令将项目源码克隆至本地： git clone https://github.com/Damian89/extended-ssrf-sea...

Fuzzowski Fuzzowski的设计核心理念，就是想让任何一个网络安全从业人员都会第一选择去使用它，该工具可以帮助研究人员对网络协议进行模糊测试，并且能够在整个测试过程中给我们提供帮助。除此之外，该工具还允许研究人员定义链接，并帮助识别服务的崩溃。 功能介绍 1、基于Sulley Fuzzer实现数据收集功能【GitHub传送门】 2、基于BooFuzz部分功能【GitHub传送门】 3、Python3 4、...

工具介绍 PolyShell是一款功能强大的polyglot脚本，它可以同时适用于Bash、Windows Bash和PowerShell。 这种特性使得PolyShell成了一渗透测试中一款非常有用的模板，因为它能够再无需目标特定的Payload的情况下在大多数目标系统中执行。除此之外，PolyShell还可以使用类似USB Rubby Ducky和MalDuino这样的设备并通过输入注入来进行传递和发送。 工具下...

Syborg Syborg是一款DNS子域名递归枚举工具，它的扫描模式既非主动，也非完全被动的。该工具可以直接构造一个域名，然后通过指定的DNS服务器查询该域名。 Syborg配备了一个断路规避系统，这个系统的灵感来自于@Tomnomnom的ettu项目。 当你使用其他类似工具来执行子域名枚举任务时，大多数工具都会被动查询类似virustotal、crtsh或censys之类的公共记录。但Syborg所采用的枚举技术...

HoneyBot HoneyBot是一款功能强大的网络流量捕捉、上传和分析框架，本质上HoneyBot可以实现基于云的PCAP分析，由PacketTotal.com驱动。 HoneyBot其实是由一系列脚本与代码库组成的，并且可以给广大研究人员提供网络数据包的捕捉与分析功能。当前版本的代码库提供了下列三个脚本： 1、capture-and-analyze.py - 对目标接口进行一段时间的数据捕捉，并上传捕捉到的数据...

Projectsandcastle Projectsandcastle是一款针对iPhone的Android/Linux支持工具，该工具可以给广大研究人员提供以下实用工具: 1、loader/ 通过pongoOS加载内核和设备树 2、syscfg/ 可从目标设备的syscfg分区中提取配置信息 3、hx-touchd/ 触摸屏幕支持守护进程 4、hcdpack/ 可从源码文件中提取蓝牙固件信息 内核 内核可以从下列G...