26款渗透测试工具分享,2023年浅更一下自己的渗透测试工具库吧!
2023-2-7 11:37:24 Author: 玄魂工作室(查看原文) 阅读量:44 收藏

声明:以下内容均来自互联网,分享的目的意在学习交流探讨,请勿使用以下工具进行违法行为,请严格遵守《中华人民共和国网络安全法》。

2023年,一月过完了,二月开始了。

新年的饺子也吃了,十五的元宵也吃了。过了十五就算过完了年。

新的一年,新的气象。我们还要为自己的梦想继续奋斗一百年。

整理了一些版本较新且常用或不错的渗透测试工具,分享出来,大家浅更一下吧。

其中一些破解版资源我使用了百度云盘和123网盘(下载不限速)进行分享,为了避免链接失效,文章中不便替换,大家可在公众号后台回复对应关键字进行获取。

最后请注意,工具均来自互联网,安全性问题请自行检测。

Invicti 是一种自动化但完全可配置的Web 应用程序安全扫描程序,使您能够扫描网站、Web 应用程序和 Web 服务,并识别安全漏洞。

后台回复关键字 2023工具包

我觉得这个就不用介绍了

后台回复关键字 2023工具包

Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。

后台回复关键字 2023工具包

Cobalt Strike 是一款GUI的框架式渗透工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,win exe木马生成,win dll木马生成,java木马生成,office宏病毒生成,木马捆绑;钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等等。

后台回复关键字 2023工具包

Acunetix Web Vulnerability Scanner(简称 AWVS )是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。

后台回复关键字 2023工具包

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。

后台回复关键字 2023工具包

是一款web application 集成渗透测试和漏洞工具,是免费开源跨平台的。OWASP_ZPA 支持截断代理,主动、被动扫描,Fuzzy,暴力破解并且提供API。

https://www.zaproxy.org/download/

DarkAngel 是一款全自动白帽漏洞扫描器,从hackerone、bugcrowd资产监听到漏洞报告生成、企业微信通知。

 https://github.com/Bywalks/DarkAngel

knife是一个Burp Suite插件,主要目的是对Burp做一些小的改进,让使用更方便。就像用一把小刀对Burp进行小小的雕刻,故名“knife”。

 https://github.com/bit4woo/knife

HaE 是基于 BurpSuite Java插件API 开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。

 https://github.com/gh0stkey/HaE

一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。

 https://github.com/shadow1ng/fscan

katana 是 projectdiscovery 项目中的一个网页链接抓取工具,可以自动解析js文件。新一代爬行框架。

 https://github.com/projectdiscovery/katana
  • Viper(炫彩蛇)是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化.

  • Viper(炫彩蛇)集成杀软绕过,内网隧道,文件管理,命令行等基础功能.

  • Viper(炫彩蛇)当前已集成70+个模块,覆盖初始访问/持久化/权限提升/防御绕过/凭证访问/信息收集/横向移动等大类.

  • Viper(炫彩蛇)目标是帮助红队工程师提高攻击效率,简化操作,降低技术门槛.

  • Viper(炫彩蛇)支持在浏览器中运行原生msfconsole,且支持多人协作.

 https://github.com/FunnyWolf/Viper

一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。

https://github.com/kelvinBen/AppInfoScanner

自动化巡航扫描框架(可用于红队打点评估)

https://github.com/b0bac/ApolloScanner

Subfinder是一个子域发现工具,用于发现网站的有效子域。

https://github.com/projectdiscovery/subfinder

是OWAPS下一款深度攻击面测绘和资产发现的工具

https://github.com/OWASP/Amass

使用 Go 语言编写的超快速 Web 模糊测试工具

 https://github.com/ffuf/ffuf

CrackQL 是一种通用的 GraphQL 渗透测试工具,它利用较差的速率限制和成本分析控制来进行暴力凭据和模糊操作。

https://github.com/nicholasaleks/CrackQL

一款使用 Go语言编写的 SSRF 简易测试工具。

https://github.com/teknogeek/ssrf-sheriff

Nuclei使用零误报的定制模板向目标发送请求,同时可以对主机进行批量快速扫描。Nuclei提供TCP、DNS、HTTP、FILE等各类协议的扫描,通过强大且灵活的模板,可以使用Nuclei模拟各种安全检查。

https://github.com/projectdiscovery/nuclei

Cyclops 是一款具有 XSS 检测功能的浏览器

https://github.com/v8blink/Chromium-based-XSS-Taint-Tracking

用 Python 3 编写的 HTTP 请求走私测试工具

https://github.com/defparam/smuggler

一款用于检测当前网站是否泄漏 .git 浏览器的扩展

https://github.com/davtur19/DotGit

dontgo403 是一个绕过 40X 错误的工具。

https://github.com/devploit/dontgo403

230OOB 是一个模拟FTP服务器的工具,帮助您通过带外XXE实现文件读取。

https://github.com/lc/230-OOB

一款基于 Python 编写的本地文件包含利用工具。

https://github.com/mzfr/liffy

建议先收藏,有空慢慢整理。

加入交流群

安全交流群,禁止广告!一经发现机票处理!

鼓励分享技术文章一起交流。

如果失效,添加微信好友,备注安全交流群

稍等片刻,拉你进群。


文章来源: http://mp.weixin.qq.com/s?__biz=MzA4NDk5NTYwNw==&mid=2651429611&idx=1&sn=06137cdb828478924f336b61afedc872&chksm=84238193b354088503e700c789fcb4cf5f9940d8c0d6a4fff821fe196ca3ce2b0f8e9fe8faee#rd
如有侵权请联系:admin#unsafe.sh