聚合了一波渗透测试工具&学习资料的方方面面，更有2.6w+POC/EXP，不是广告哦~

工具推荐

超赞

前言

最近在更新自己的武器库，实时追随新的工具，学习大佬们的骚操作。当个牛X的“脚本小子”，哈哈~。

当然啦，我们只是做了大自然的搬运工，分享优质工具，便于大家研究学习。

切勿使用以下工具做非法的事情哦~

以下很多工具，都建议大家在虚拟中运行哦。

学会打造自己的武器库。

对了文末我整理了一些安全所需的学习书籍资料，大家各取所需。

NO.01

AWVS14破解版

AWVS漏扫一霸呀，在最新版本又增加许多攻击向量，多多少少能扫出来点大大小小的问题，在允许的前提下，是在没办法了，挂上AWVS扫一扫简直不要太省心。

https://www.ddosi.org/awvs14-3/

NO.02

Burp2021.8破解版

远方大表哥喊你更新Burp啦，Burp新版越来越好用了，增加了更多实用的功能，具体有哪些可以去官网看看哈。

https://www.ddosi.org/burpsuite2021-8

NO.03

GSLibrary知识库平台

这几天大火的一个项目，作者基于Python搭建了知识库平台，让大家打造自己的个人文库，或者说POC/EXP武器库，因为作者还贴心整合了近3w+漏洞POC/EXP，一键导入文库平台，随用随查阅，极其方便，赶紧白嫖吧，到了本月31号，就都删除咯。

Github地址：

https://github.com/G-Security-Team/GSLibrary

NO.04

长亭Xray

长亭的Xray和AWVS配合有奇效，他们官方也出了rad配合Xray漏扫。

挖公益SRC挖不到漏洞？不妨试试这套组合，当然要在SRC规则前提下进行哦，不要贸然进行哦。

Github地址：

https://github.com/chaitin/xray

不懂得多看官方教程：

https://docs.xray.cool/

NO.05

HaE

HaE是基于 BurpSuite 插件 JavaAPI 开发的请求高亮标记与信息提取的辅助型插件。

真心好用，强烈推荐。

https://github.com/gh0stkey/HaE

NO.06

dismap

Dismap 定位是一个资产发现和识别工具；其特色功能在于快速识别 Web 指纹信息，定位资产类型。辅助红队快速定位目标资产信息，辅助蓝队发现疑似脆弱点

https://github.com/zhzyker/dismap

NO.07

Dirsearch

dirsearch在探测目录方面，我觉的还是方便快捷的，记得多看看帮助里面的命令。

https://github.com/maurosoria/dirsearch

NO.08

Oneforall

oneforall顾名思义，一个顶多个，也确实如此。但需要配合代理，才能发挥最大威力。

https://github.com/shmilylty/OneForAll

NO.09

fuzzDicts

Web Pentesting Fuzz 字典,一个就够了。非常适合做为基石，以构建打造自己的字典库。

https://github.com/TheKingOfDuck/fuzzDicts

NO.10

fscan

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。

https://github.com/shadow1ng/fscan

NO.11

ysoserial

一款针对java反序列化的利用工具

https://github.com/frohoff/ysoserial

NO.12

渗透测试小技巧

作者整合了一些渗透测试小技巧的仓库

https://github.com/Power7089/PenetrationTest-Tips

NO.13

404星链计划

“404星链计划” 主要目的是改善安全圈内工具庞杂、水平层次不齐、开源无人维护的多种问题，营造一个更好更开放的安全工具促进与交流的技术氛围。

https://github.com/knownsec/404StarLink2.0-Galaxy

NO.14

其他一些工具

很多优秀的工具不一一列举了，

简单整理下。

web批量请求器：

WEB批量请求器（WebBatchRequest）是对目标地址批量进行快速的存活探测、Title获取，简单的banner识别，支持HTTP代理以及可自定义HTTP请求用于批量的漏洞验证等的一款基于JAVA编写的轻量工具。

https://github.com/ScriptKid-Beta/WebBatchRequest

Shiro550/Shiro721 Exploit：

一键化利用工具，支持多种回显方式

https://github.com/feihong-cs/ShiroExploit-Deprecated

冰蝎：

“冰蝎”动态二进制加密网站管理客户端

https://github.com/rebeyond/Behinder

jwt_tool：

一款针对jwt（json web token）攻击的工具

https://github.com/ticarpi/jwt_tool

先简单到这，

哪天我再好好整理一版出来。

NO.15

超多学习资料

安全书籍&安全文章&安全视频教程

便于链接失效，随时补充，请大家关注公众号，后台回复“超多学习资料”

END