近期在github收藏的一些自动化工具分享
2023-2-8 09:9:46 Author: 棉花糖网络安全圈(查看原文) 阅读量:25 收藏

01

前言

微信交流群开放中

老群“棉花糖娱乐圈圈”已经被封

通过公众号下方菜单栏联系我进新群哦

新群“棉花糖娱乐圈圈圈”

02

github项目
__   _______ _____                 \ \ / /  _  /  ___|                 \ V /| | | \ `--.  ___ __ _ _ __    \ / | | | |`--. \/ __/ _` | '_ \   | | \ \/' /\__/ / (_| (_| | | | |  \_/  \_/\_\____/ \___\__,_|_| |_|
by &nOnExiaoyuYQScan仅用于安全人员测试请勿做非法用途tips:默认会将搜索结合保存csv文件输出使用方法: python3 YQScan.py -key 测试 -p 1 -key:指定关键词 -p:指定搜索页数(推荐10页)环境配置
安装工具所需的python库pip install -r requirements.txt
代码第14行添加自己的语雀cookie'cookie': 'xxxxxxxxxx'
添加完就可以愉快的使用了。
python3 YQScan.py -key 关键词 -p 搜索页数
例:python3 YQScan.py -key 员工 -p 1
项目地址:https://github.com/nOnE-team/YQScan
一个js文件敏感信息搜集脚本,支持输入url和js文件,也支持批量敏感信息匹配。
主要基于正则表达式来提取敏感信息,正则表达式参考以下两个项目
https://github.com/m4ll0k/SecretFinderhttps://github.com/System00-Security/API-Key-regex有几项正则表达式误报比较多,可以根据自己的需要删除或增加相关的匹配项。

实例:

项目地址:https://github.com/laohuan12138/js_info_finder

CF 是一个云环境利用框架,适用于在红队场景中对云上内网进行横向、SRC 场景中对 Access Key 即访问凭证的影响程度进行判定、企业场景中对自己的云上资产进行自检等等。

使用详情见手册:wiki.teamssix.com/cf项目地址:https://github.com/teamssix/cf

自动化巡航扫描框架(可用于红队打点评估)

功能资产收集(需要主域名,资产对象可直接在爆破和漏扫过程中调用)
子域名收集(需要virustotal-api-token)cname收集ip地址(a记录)收集开放端口扫描(基于masscan)端口对应服务、组件指纹版本探测(基于nmap)http标题探测http框架组件探测github敏感信息收集
基于域名和关键字的敏感信息收集(需要github-token)暴力破解(基于exp的暴力破解)
exp注册模块代码动态编辑代码动态调试支持资产对象破解任务模块支持exp对象调用支持资产对象支持批量资产支持多线程(可配置)破解结果模块支持结果显示支持钉钉通知敏感路径探测任务敏感路径探测结果漏洞扫描模块
exp注册模块代码动态编辑代码动态调试支持资产对象漏扫任务模块支持exp对象调用支持资产对象支持批量资产支持多线程(可配置)结果显示模块支持结果显示支持钉钉通知配置模块
支持常用系统配置(各类token、线程数)支持用户、用户组、权限配置模块支持启动服务模块HTTP服务(支持HTTP请求记录)DNS服务(支持DNS请求记录)
项目地址:https://github.com/b0bac/ApolloScanner

项目地址:https://github.com/M-02/Study_note/

项目地址:https://github.com/reto18052015/YingJiXiangYing
简介Commons-Collections组件主要有两大版本:cc3和cc4 cc3可用的链有:1、3、5、6、7 cc4可用的链有:2、4
CC3依赖<dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version></dependency>JDK8u71之前CC1、CC3,之后CC6
CC2依赖<dependencies> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-collections4</artifactId> <version>4.0</version> </dependency>
<dependency> <groupId>org.javassist</groupId> <artifactId>javassist</artifactId> <version>3.22.0-GA</version> </dependency></dependencies>
项目地址:https://github.com/FFreestanding/JavaUnserializeChain

03

付费圈子

如果看到这里的师傅的你偏新人向
那么加入我们,性价比绝对超高,内部有新人所需绝大部分资源
包括一些出名的加密培训课程(这里不便展示)
内部也能分发授权
如果师傅已经脱离新手
那么圈子内部的交流氛围也是值得一看的
还有各个方向的学习资料和教程相信也能吸引你
如果师傅你有兴趣了解
请后台回复知识星球或点击菜单栏“付费圈子”查看更详细的介绍
开圈四个月以来已有400+师傅选择付费足以说明价值

目前仅需70RMB一年,满1000人涨到99一年(目前进度436/1000)

价格只会越来越高

04

下载地址

有师傅反映需要封面图?

后台回复文章推送日期加”封面“即可获取(十月五日前的文章没有)

例如今天为:20230207封面

05

往期文章

AWVS_15.3版本一键破解

nessus10.4.1插件更新企业版20230130插件包_内附破解脚本

burp_2023.1.1&burp22.12.7专业版中文破解_一键启动

漏扫工具Invicti-Professional-v23-1破解

xray1.9.4_windows&linux高级版

fortify_sca_22.2-Windows-linux破解版

Ladon10.0_20221208

CS4.7汉化+修改指纹+加密流量+最新ladon9.2.5教程内附成品

windows10渗透虚拟机更新!帮助渗透新手快速搭建工作环境,工欲善其事,必先利其器。

一款开源命令行漏洞扫描器——简易添加poc

AppScan_Standard_10.1.0中文永久破解版

招聘!主场研判 长期,工资10K-12K

github-cve-monitor——一款cve、大佬仓库、工具监控工具(文末成品直接使用)

06

免责声明

本工具仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。

为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。

在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。

如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。

在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NTYwMDIyOA==&mid=2247489842&idx=1&sn=cca60f73849f2c077a0c1d954ba3cfa1&chksm=c00c8a39f77b032f817cbdbc7f10b796e5e2aac04f404cb495c930aedc49a7b1f45bc6bc355e#rd
如有侵权请联系:admin#unsafe.sh