专栏首页Bypass这些年,我们一直追逐的漏洞利用神器

这些年,我们一直追逐的漏洞利用神器

现在,也许我们所认为的漏洞利用工具神器,十年后,又该会是什么样子呢?可能大概就像我们现在看到以前的啊d注入工具的样子吧。

近几日,我忽然思考这样一个问题:如果一种漏洞类型,让你推荐一款与之强相关的漏洞利用神器,你会怎么推荐?

下面,我来分享一下我心里的答案,推荐几款我认为的漏洞利用神器,欢迎各位来一起补充。


1、SQL注入漏洞

推荐项目:SQLmap

项目地址:http://sqlmap.org/

推荐理由:殿堂级工具,注入神器,效果谁用谁知道。

2、XSS

推荐项目:beef

项目地址:

https://beefproject.com/

推荐理由:专门针对浏览器攻击的框架,一个专注于Web浏览器的渗透测试工具。

3、文件包含漏洞

推荐项目:LFISuite,

项目地址:

https://github.com/D35m0nd142/LFISuite

推荐理由:一款全自动工具,能够使用多种不同攻击方法来扫描和利用本地文件包含漏洞。

4、CSRF

推荐项目:CSRFTester

项目地址:

https://wiki.owasp.org/index.php/File:CSRFTester-1.0.zip

推荐理由:一款CSRF漏洞的测试工具,集抓包和Poc构造与一体。

5、XXE(外部实体注入漏洞)

推荐项目:XXEinjector

项目地址:

https://github.com/enjoiz/XXEinjector

推荐理由:使用直接和不同带外方法自动利用XXE漏洞的工具。

6、Xpath注入

推荐项目:XCat

项目地址:

https://github.com/orf/xcat

推荐理由:一个命令行工具,可以利用和检测XPath盲注漏洞。

7、Struts漏洞利用

推荐项目:K8 Struts2 Exploit

推荐理由:Struts2综合漏洞利用工具,包含收集信息,执行命令、文件上传、连接小马、文件管理等功能。

8、Jboss漏洞

推荐项目:JexBoss

项目地址:

https://github.com/joaomatosf/jexboss

推荐理由:扫描和检测Jboss中可能存在多个安全漏洞。

9、路由器漏洞

推荐项目:RouterSploit

项目地址:

https://github.com/threat9/routersploit

推荐理由:一款专门针对嵌入式设备的漏洞利用工具,包含了27个品牌的上百种漏洞利用模块,涉及的路由器、摄像头等设备有几百种。


重复造轮子者甚多,而能够称之为神器的工具甚少,我们应当时常心怀感激,感谢每一位安全开发者的无私奉献。

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【代码审计】iZhanCMS_v2.1 漏洞分析

    爱站CMS是一款开源免费的CMS内容管理系统,具有开放灵活,安全高效,简洁美观!本次针对iZhanCMS_v2.1版本进行代码审计,发现代码中存在的安全...

    Bypass
  • 【代码审计】PHPYun_v4.3 CMS重装到Getshell

    PHPYun是一款国内流行的人才网站管理系统,做了一些测试,发现了一点问题,做个记录,未深入。

    Bypass
  • 绕过CDN寻找真实IP的8种方法

    正常情况下,通过cmd命令可以快速找到域名对应IP,最常见的命令如ping、nslookup。但很多站点出于用户体验和安全的角度,使用CDN加速,将域名解析到C...

    Bypass
  • 去年挤不进去的推荐系统论坛又来了! | BDTC 2017

    用户1737318
  • 登陆页面渗透测试常见的几种思路与总结

    我们在进行渗透测试的时候,常常会遇到许多网站站点,而有的网站仅仅是基于一个登陆接口进行处理的。尤其是在内网环境的渗透测试中,客户常常丢给你一个登陆网站页面,没有...

    HACK学习
  • 【云开发校园技术布道师】致新生的一个小程序

    背景:去年我还是一名大一新生,获取专业在哪个校区和学校有什么社团协会之类的需要向师兄师姐询问,可不是谁都有加微信群的,也有很多人害羞不发言潜水看着活跃的人问问题...

    mumu0304
  • Appium:轻松玩转app+webview混合应用自动化测试

    Appium这个听起来既生疏也熟悉的自动化测试工具,比起原生的UiAutomator可能是异常的不起眼,可是却是有自身独当一面的能力,可以完成许多高难度作业,完...

    腾讯移动品质中心TMQ
  • OD_条件断点/消息断点

    “领空”这个词用来形容我们在调试某个程序的时候的正在操作或观察的内存区域

    阿婆
  • Java策略模式(Strategy)

    使用场景: 某个市场人员接到单后的报价策略(CRM系统中常见问题)。报价策略很复杂,可以简单作如下分类:

    用户4919348
  • JS防止站点被恶意保存

    很多同学网站都在用静态博客,安全轻量的同时也带来了些许麻烦,正如首图中那样,站点被别人全盘撸走,反而比自己文章关键字还高.自己辛辛苦苦的耕耘变成了别人的果实…所...

    yumusb

扫码关注云+社区

领取腾讯云代金券