Nacos JRaft Hessian 反序列化 RCE 加载字节码 注入内存马 不出网利用

jeecg综合漏洞利用工具

红队武器库漏洞利用工具合集整理

AGE animation official website URL release page（AGE动漫官网网址发布页）

一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。

OA漏洞利用工具

ARL官方仓库备份项目：ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

对目标域名进行快速的存活扫描、简单的指纹识别、目录扫描

一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，构建基础资产信息库，协助甲方安全团队或者安全运维人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

一款集成高危漏洞exp的实用性工具

Catcher(捕手) 重点系统指纹漏洞验证工具，适用于外网打点，资产梳理漏洞检查。

攻防演练过程中，我们通常会用浏览器访问一些资产，但很多未授权/敏感信息/越权隐匿在已访问接口过html、JS文件等，该插件能让我们发现未授权/敏感信息/越权/登陆接口等。

互联网厂商API利用工具。

A Security Tool for Bug Bounty, Pentest and Red Teaming.

渗透测试常用密码字典合集(持续更新)

heapdump敏感信息查询工具，例如查找 spring heapdump中的密码明文，AK,SK等

CVE-2021-44228 Log4j2 BurpSuite Scanner,Customize ceye.io api or other apis,including internal networks

Burpsuite - Route Vulnerable Scanning 递归式被动检测脆弱路径的burp插件

gophish批量操作，适用于大批量钓鱼演练

Open-Source Phishing Toolkit

Packer Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack.

日常积累的一些红队工具及自己写的脚本，更偏向于一些diy的好用的工具，并不是一些比较常用的msf/awvs/xray这种

六大云存储，泄露利用检测工具

xss漏洞模糊测试payload的最佳集合 2020版

安卓应用层抓包通杀脚本

个人整理的一些域渗透Tricks，可能有一些错误。

CVE-2022-1388 F5 BIG-IP RCE 批量检测

谷歌爬虫，自动解析谷歌搜索信息，需搭配clash使用，生成cvs

Collect JSP webshell of various implementation methods. 收集JSP Webshell的各种姿势