搜索 “payloads”

不再关注网络安全

使用XOR异或绕过WAF拦截:XORpass

使用XOR异或绕过WAF拦截:XORpass

XORpass XORpass是使用XOR异或操作绕过WAF过滤器的编码器,基于PHP XOR异或。 安装和使用 git clone https://github.com/devploit/XORpass cd XORpass $ php encode.php STRING $ php decode.php "XORed STRING" 12345 git clone https://github.com/devploit/...

BurpSuite自动化blind-xss插件:Femida-xss

BurpSuite自动化blind-xss插件:Femida-xss

Femida-xss (WIP) 一款BurpSuite插件,用于自动化执行blind-xss盲搜索。它能够执行主动和被动检查。 安装 git clone https://github.com/wish-i-was/femida.gitBurp -> Extender -> Add -> find and select blind-xss.py 使用 首先,在名为“Your URL”的字段中设置回调URL,然后按Enter将其自动保存在config.py文件中。 设...

自动化的XSS漏洞扫描程序:Traxss

自动化的XSS漏洞扫描程序:Traxss

Traxss XSS扫描器 一款自动化XSS漏洞扫描程序,用Python3编写,利用无头Selenium。 Traxss是一个自动化框架,用于扫描URL和网页的XSS漏洞。它包括用于测试的575多个Payloads,以及用于增强测试健壮性的多个选项。 Traxss XSS漏洞扫描器 Traxss 安装与使用 安装 工具仓库 git clone https...

一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP

一个用于伪造IP地址进行爆破的BurpSuite插件:BurpFakeIP

BurpFakeIP介绍 一个用于伪造ip地址进行爆破的BurpSuite插件,burpsuite伪造ip可用于突破waf及进行安全规则绕过等场景;昨天我们分享了《BurpSuite IP代理扩展,使用AWS API网关动态更改请求:IPRotate_Burp_Extension》有同学也发现和今天推荐这个有点类似,但却又截然不同。毕竟AWS在国内确实太小众了,今天推荐的BurpFakeIP 伪造IP Bu...

Commando VM v2.0 – 基于Windows的渗透测试工具包

Commando VM v2.0 – 基于Windows的渗透测试工具包

Commando VM CommandoVM 是一个完全可定制的,基于Windows的安全发行版,用于渗透测试和红队测试。在2019年3月28日发布了首个版本《火眼Windows渗透工具包 – CommandoVM》,现在,2.0版本来了。 Windows渗透工具包 Commando VM安装与使用 项目地址:https://github.com/fireeye/commando-vm 与1.0版本安装方法相同不赘述,请...

xssizer – 发现并测试XSS跨站漏洞的工具

xssizer – 发现并测试XSS跨站漏洞的工具

xssizer XSS工具 xssizer帮助渗透测试人员,漏洞猎手和其他安全专业人员轻松检测此类漏洞,并生成可立即使用的XSS Payloads PoC漏洞利用以进行演示。 xssizer XSS工具 xssizer安装与使用 安装 由于是PHP+JS项目,你需要一个server服务来运行它。 # 下载项目 $ git clone https://github.com...

SecLists:安全测试伴侣,渗透测试资源收集项目

SecLists:安全测试伴侣,渗透测试资源收集项目

SecLists介绍 SecLists是安全测试人员的伴侣工具箱,渗透测试工具资源收集。它是在安全评估期间使用的多类型渗透测试资源的集合。类型包括用户名,密码字典,URL,敏感数据,模糊测试payloads,Webshell,XSS等等。目标是使安全测试人员能够将此存储库拉到新的测试工作中,并可随时访问需要的类型列表。 SecLists下载 压缩方式...

社会工程学工具包:Social-Engineer Toolkit(SET)

社会工程学工具包:Social-Engineer Toolkit(SET)

社会工程学工具包 The Social-Engineer Toolkit (SET) 社会工程工具包(Social-Engineer Toolkit以下简称SET)适用于Linux和Mac OS X,是一个基于Python的开源渗透测试框架,可以帮助您立即发起社会工程攻击。 你有没有想过如何破解社交网络帐户?那么,SET有答案 - 对于那些对社会工程领域感兴趣的人来说,它是不可或缺的。 ...

XSStrike – 可识别并绕过WAF的XSS扫描工具

XSStrike – 可识别并绕过WAF的XSS扫描工具

XSStrike 高级XSS检测套件 XSStrike是一个XSS脚本探测套件,配备了4个手写解析器,一个智能payloads生成器,一个强大的引擎和一个令人难以置信的快速爬虫工具。和xwaf有相似之处,但又有明显的区别。 XSStrike不像其他工具那样注入XSS并检查它,XSStrike 使用多个解析器分析响应,然后通过与 fuzzing 引擎集成的上下文分析来保证p...

fireELF – 无文件Linux恶意代码框架

fireELF – 无文件Linux恶意代码框架

fireELF介绍 fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。默认情况下附带了’memfd_create’,这是一种从内存中完全运行linux elf可执行文件的新方法。 https://github.com/rek7/fireELF fireELF特性 选择并构建payloads能够缩小payloads能够通过将payloads上传到pastebin来缩小...