IT2021科技站

写这个脚本的起因是，某厂商对我司出售客户那边的产品做基线检查，发现操作系统存在很多不符合项，需进行整改。拿到了对方的检测报告，于是就有了这个脚本，原报告暂不方便直接给出，后续我处理一下再给出来吧。 脚本Github链接：基线检查&加固 检测项 在CentOS 7.2上进行测试，检测项如下。（个人感觉涵盖了很多，还是可以增补的）...

Gadgetinspector Gadgetinspector是一款针对Java应用程序/库的字节码分析工具，它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链（Gadget Chain）。 该项目可以检查Java代码库和类路径中的Gadget链，而Gadget链可以被用来构造针对反序列化漏洞的漏洞利用技术。通过自动化识...

Lazydocker Lazydocker是一款专为懒人设计的Docker以及Docker-Compose终端管理工具，该工具采用Go语言开发，基于gocui实现。 如果你发现自己的项目出了问题，或者是服务down掉了，那么Lazydocker就可以立刻给你提供帮助。Lazydocker可以帮助我们调试自己的项目或者服务，并且在出现问...

Extended ssrf search Extended ssrf search是一款功能强大的SSRF智能漏洞扫描工具，该工具可以通过在请求中设置不同的预定义参数来搜索SSRF漏洞，这些参数包括路径、主机、Header、POST和GET参数。 工具下载 广大研究人员可以使用下列命令将项目源码克隆至本地： git clone htt...

Fuzzowski Fuzzowski的设计核心理念，就是想让任何一个网络安全从业人员都会第一选择去使用它，该工具可以帮助研究人员对网络协议进行模糊测试，并且能够在整个测试过程中给我们提供帮助。除此之外，该工具还允许研究人员定义链接，并帮助识别服务的崩溃。 功能介绍 1、基于Sulley Fuzzer实现数据收集功能【GitHub传送...

工具介绍 PolyShell是一款功能强大的polyglot脚本，它可以同时适用于Bash、Windows Bash和PowerShell。 这种特性使得PolyShell成了一渗透测试中一款非常有用的模板，因为它能够再无需目标特定的Payload的情况下在大多数目标系统中执行。除此之外，PolyShell还可以使用类似USB Rub...

Syborg Syborg是一款DNS子域名递归枚举工具，它的扫描模式既非主动，也非完全被动的。该工具可以直接构造一个域名，然后通过指定的DNS服务器查询该域名。 Syborg配备了一个断路规避系统，这个系统的灵感来自于@Tomnomnom的ettu项目。 当你使用其他类似工具来执行子域名枚举任务时，大多数工具都会被动查询类似viru...

HoneyBot HoneyBot是一款功能强大的网络流量捕捉、上传和分析框架，本质上HoneyBot可以实现基于云的PCAP分析，由PacketTotal.com驱动。 HoneyBot其实是由一系列脚本与代码库组成的，并且可以给广大研究人员提供网络数据包的捕捉与分析功能。当前版本的代码库提供了下列三个脚本： 1、capture-a...

Projectsandcastle Projectsandcastle是一款针对iPhone的Android/Linux支持工具，该工具可以给广大研究人员提供以下实用工具: 1、loader/ 通过pongoOS加载内核和设备树 2、syscfg/ 可从目标设备的syscfg分区中提取配置信息 3、hx-touchd/ 触摸屏幕支持守...

0×00 说明： 这是一款基于主机的漏洞扫描工具，采用多线程确保可以快速的请求数据，采用线程锁可以在向sqlite数据库中写入数据避免database is locked的错误，采用md5哈希算法确保数据不重复插入。 本工具查找是否有公开exp的网站为shodan,该网站限制网络发包的速度，因而采用了单线程的方式，且耗时较长。 功能：...