渗透工具

信息收集工具

包含子域名扫描、端口扫描、指纹识别等工具集合

查看详情

爆破工具

支持密码爆破、目录爆破、数据库爆破等功能

查看详情

在线工具

可从互联网上,直接进行渗透测试或信息收集.

查看详情

注入工具

包含SQL注入\XSS注入以及其他注入工具集合

查看详情

远程控制工具

支持远控木马与远程管理工具

查看详情

逆向工具

包含反编译、调试与逆向分析工具

查看详情

漏扫工具

漏洞扫描与利用验证工具集合

查看详情

内网工具

内网穿透、横向移动相关工具

查看详情

字典工具

包含密码、路径等各类渗透测试字典

查看详情

流量分析/测压工具

流量监控与压力测试工具集合

查看详情

综合工具

包含多款综合性工具、全方位渗透测试工具等

查看详情

防御/蓝队工具

流量监控,防护\进程\防御等蓝队工具

查看详情

POC\EXP板块

在互联网上收集的POC或者EXP,均在这个目录下

查看详情

WebShell板块

在互联网上收集的一句话\小马\大马等

查看详情

插件\扩展板块

包含但不限于:浏览器\fiddler\Burp\插件\扩展等.

查看详情

靶场搭建工具

包含漏洞环境部署、模拟场景配置、实验平台搭建等工具集合

查看详情

靶场搭建工具或网站

LingJing_一个好用强大更新频率快的靶场工具

详细POC\EXP

Linux反弹脚本和提权补充的一点exp.zip

POC与EXP

2023护网POC\EXP-来源:狐狸安全-1.5W+

2025年-Nuclei POC 20W+

当前已经包括:XSS 工具 - SQL注入工具

XSS 工具

XSStrike_一个强大的XSS工具_属于一个高级的xss检测套件

SQL注入工具

Ghauri_一个跨平台的SQL注入工具(略逊于sqlmap)

阿D注入包(可视化)

sqlmap 1.7.1汉化版

远程控制工具详情

Escrcpy_安卓局域网远控工具

Brc4_1.7.4 crack_红队特供版

quasar-V1.4(内部版本)

大灰狼(二开版)

哥斯拉v4.15-特战版

当前已经包括:Windows - Android(安卓) - 小程序 - 代码审计

源码审计工具

Fenrir-CodeAuditTool-一款基于AI的代码审计工具

cdeVulnScan-基于正则的代码审计工具

PrivacyCheckGo_快速检测源码敏感信息工具

Windows(运行) 逆向工具

IDA Pro 8.3 汉化破解版

IDA Pro 9.2 Beta 3 最新破解学习版本

010 Editor-破解版-汉化版

ImHex-逆向神器

Android逆向工具

FART-Fix_Android_自动蜕壳工具

Android killer 安卓逆向

次元剑_逆向神器_(此工具,up不会用,报毒)

小程序逆向工具

unveilr_v2.0.0-微信小程序逆向工具

当前已经包括:漏洞扫描工具 - 漏洞利用工具 - 漏洞扫描\利用一体化工具

漏洞扫描工具

DarkAngel-一个可以自动生成报告的漏洞扫描工具

OssSca_自动扫描OSS漏洞的Burp插件

FindUpload-上传\登陆点扫描工具

z0scan_一款继承多功能的漏洞检测辅助工具

漏洞利用工具

NacosExploit_支持绕过\注入\反序列化等漏洞_jar文件

漏洞扫描\利用一体化工具

SSRF-扫描与利用工具

内网工具-Windows

netspy_一款快速探测内网的工具_by: 深信服深蓝实验室

SharpScan_内网自动化横向+域内信息收集

fscan-横向神器2.0

Windwos横向工具

PEASS-ng-全系统提权工具

MDUT-Extend-数据库提权工具

e0e1-config_内网-后渗透神器(Windows)

后渗透工具-Windump-Windows信息收集神器

内网工具-Linux

linux 下清除日志的脚本.txt

linux日志清除工具logtamper1[1].1.rar

linux后门.zip

Linux反弹脚本和提权补充的一点exp.zip

字典生成工具

pydictor_一款支持生成多种字典的神器.

字典生成器1

字典

很强的爆破专用字典.txt

PHP.txt-PHP 字典

数据库地址.txt

后台路径.txt

JSP.txt - JSP字典

在线编辑器路径.txt

ASPX.txt - ASPX字典

DIR.txt - 还算不错的一个字典.

ASP.txt - ASP字典

流量/测压工具详情

IxChariot(需要有一定的动手能力)

t50,简单方便,支持DDOS\CC等多种方式

EasyTshark_一个比Wireshark更方便更快捷抓包工具

当前已经包括: 常用信息收集(指纹 - poc扫描 - 自动扫描 - 企业信息收集 - 资产测绘 - 绕WAF - 端口扫描...等 )

JS 信息收集

JSfind-一款在网站js文件中提取url\接口的工具

JSAPIscan_一个速度很快的js和API的扫描工具

z0scan_一款可被动扫描JS接口文件、OSS储存桶接管等漏洞的工具

常用信息收集

SScan_资产收集+漏洞扫描工具_一个Src捡洞扫描器

web-check-全能网站检测神器

GhostWolf_一款收集内存敏感信息的工具

ScopeSentry_一个超全的牛逼渗透工具_支持导入POC\插件等多种扩展

七杀_听雨_Web 指纹识别与资产扫描工具

页面信息提取工具-URLFinder-查找隐藏敏感信息和未授权API接口

Virgol-综合类工具

scan4all-1.5W poc扫描工具

amass-信息收集类工具

hscan-资产测绘/漏扫

zpscan-信息收集类工具

OneLong-企业信息收集

JWS-CLI-自动化信息收集工具

Golin-一体化漏扫工具

wig-指纹识别工具

P1finger-资产指纹识别

FrameScan-GUi-可视化指纹识别

绕WAF\CDN等工具

CF-Hero-一款可以绕过CDN寻找到真实IP的工具-需要空间测绘的API

Upload_Super_Fuzz_Gui_一个通过fuzz绕过WAF的上传工具

端口类工具

ESP-端口类工具

RustScan-一个比nmap扫描快几万倍的端口扫描工具

爆破工具详情

dnsmap-子域名爆破

FuzzDomain-可视化子域名爆破

Features_好用最智能最可控的目录爆破工具

Wifi爆破工具

爆破WIFI密码

exe爆破工具

暴力破解通用工具

phpMyAdmin暴力破解v1.3

Webshel密码爆破器

WebShell密码爆力破解工具V10

Seay Discuz用户密码暴力破解器

ASP PHP ASPX一句话密码暴力猜解工具

K8一句话木马爆破_1004[K8]

SHELL暴力破解.exe

在线渗透工具详情

web-check-一个输入网址后,自动把所有信息都能给你列出来的离谱项目(需要本地部署)

boce_综合性异常强的在线工具_比站长还要强的一个在线工具

Whois-查询-站长-web

Whois-查询-万网-web

在线ip查询

ip/域名备案查询

潮汐-指纹识别

撒旦资产测绘

综合工具详情

棱镜 X - 集资产发现、指纹识别、弱密码检测、漏洞验证于一体的渗透工具

Milkyway-一个全方位的渗透测试工具-支持nucliei的8000+漏洞，支持25000+的webh指纹、POC（支持全系统）

AlliN-快速打点的综合工具

hexstrike-ai-一个可以丢给AI网站后,AI帮你渗透的工具(贼JB离谱)

EasyTools-一个综合渗透工具箱

VIPER_结合AI的红队工具_很强

reconftw_包括30+功能的自动化侦查工具

FLYsecAgent_接入AI的半自动渗透工具_又是一个极度离谱的项目

GateSentinel_一个现代化的C2（命令与控制）框架

OpenArk-蓝队应急工具箱

超强综合工具-密探(强烈推荐)

狐狸工具箱_V8最新版

天狐渗透工具箱-社区版V2.0纪念版-带框架

Java漏洞工具箱

JavaSecLab-全面的Java漏洞平台

蓝队工具

FastWLAT_高性能 Web 日志分析工具

QDoctor-蓝队rootkit应急响应工具

MaliciousCheck_开源应急响应工具

kyanos_开源流量分析工具

BruteShark_功能全面的网络安全取证工具箱。

火绒剑独立文件-Win10版

轻量哈希\MD5 计算工具 - hashmyfiles

chrome插件系列

狗蛋-蜜罐识别器_一个可以识别35+的蜜罐浏览器插件

幻影（Phantom）SRC漏洞挖掘辅助工具

SnowEyes_雪瞳_浏览器扩展_快速获取网页中敏感信息,并且分类

BucketTool_浏览器扩展_检测主流云存储常见漏洞

LoveJS_浏览器扩展_快速找到页面和JS中接口和敏感信息的插件

Save Multiple URLs_快速获得页面中所有URL的工具

FastBurp_一个可以发包的浏览器插件

Burp插件系列

CaA_一个Burp插件_挖洞必备Burp插件

API_Sword_(API剑)新经典插件_全自动深度收集各种响应中的API接口_未开源

OssSca_自动扫描OSS漏洞的Burp插件

Brup_TLA_一个流量监测的burp插件_且支持XSS\目录扫描\绕WAF等强大功能

BurpAPIFinder_一个Burp插件_最全面完善的API挖掘工具

当前已经包括:PHP - JSP - ASP

WebShell-PHP板块

全功能PHP SHELL汉化版修改版

外国黑阔用的webshell

过安全狗的php一句话

突破一切iis防御，密码caidao

大侠专用英文php大马

PHP程序--蜘蛛劫持专用

Silic Group专用php木马Webshell

php图片一句话密码1

php一句话木马

php主页替换劫持

php扫可读可写目录脚本

404.php.a;a.jpg

pass--免杀.php

6.0版本php攻击马

汉化的一款国外phpshell_明文免杀安全狗.php

菊花聊天室-F4ck美化版.php

5个php大马但有两个不免杀

phpspy-中文版.php

Mysql UDF 提权工具（免杀）

php shell加强版

404页面小马

asp php两用一句话图片马

MYSQL高版本提权工具.php

菊花聊天室-原版.php

Webshell-Jsp板块

无密码的jsp大马shell

JSP端口转发

JSP版MSSQL连接工具.txt

JSP大马webshell

带密码的jsp.txt

菊花聊天室.jsp

silic webshell.jsp

WebShell-asp板块

超强隐蔽asp一句话

转换字符的一句话密码a

复仇者asp大马（过监控）

免fso 免杀asp大马

不死防删提权集成无敌asp大马

虚拟主机提权专用Webshell去后门版

暗组WebShell超强功能版(增强版)

突破智创监控asp大马

真正过安全狗的ASP大马

无密美化asp小马

全英文免杀asp马

终极防删免杀多功能VIP版本-有后门

[用力插进去]asp小马

asp图片一句话密码a

D哥asp脚本扫目录读写信息wt

[幽灵学院]专用asp大马

asp扫可读可写目录脚本

Cmd支持管理员登陆的webshell

FSO文件浏览器asp大马

asp图片一句话密码keio

asp不灭之魂2013改进版本

asp图片一句话密码#

数据库操作.txt

突破404大马.txt

asp php两用一句话图片马

菊花聊天室.asp

80sec大马查看组建asp

asp一句话木马

3389没开或连不上服务器的时候，用账号密码登陆这脚本直接就是系统权限

在当前目录生成一个asp的一句话木马.txt

免杀世界大马.txt

多组件大马.txt

跨目录rootkit.txt

突破一流监控系统写shell.txt

绕过web防火墙.asp.txt

很好用的扫可读可写目录asp脚本xwdir.asp

Serv-U asp 提权程序.txt

>