专栏首页Ms08067安全实验室少侠慢走,收下这些神兵利器!

少侠慢走,收下这些神兵利器!

根据行业评论、反馈和经验,整理了最佳网络安全工具,告诉你有关用于网络安全目的的软件,包括端口扫描程序、Web 漏洞扫描程序、密码破解程序、取证工具、流量分析和社会工程学工具。

  1. Metasploit Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施测试。它本身附带数百个已知软件漏洞的专业级漏洞测试工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用测试工具来测试那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种测试工具,并将它们贡献给所有Metasploit用户。 敲几下命令就可以用秒杀各类渣渣服务器,不多说了...
  1. Acunetix WVS

Acunetix Web Vulnerability Scanner(简称:Acunetix WVS)是来自国外的一款权威、专业的商业级Web漏洞扫描程序,可以扫描并发现网站中可能导致致命错误的缺陷。这个多线程工具抓取一个网站,发现恶意的跨站点脚本,SQL 注入和命令执行等等漏洞。

也是个动动鼠标就能发现漏洞的好工具,比较喜欢用的一款工具,相较于其他漏扫工具显得更快、准

3. Nmap

nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。

Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法,避开闯入检测系统的监视,并尽可能不影响目标系统的日常操作。

4.nessus

Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。

* 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。

* 不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。

* 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。

5.Wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,可以截取各种网络封包,显示网络封包的详细信息。

6.SQLMAP

Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点:

完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。

完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。

7.Cobalt Strike

这两年很多的一款神器,渗透测试中不可缺少。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office钓鱼攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受网络喜爱。

8.oclhashcat

它是一个本地的hash密码破解工具,与hashcat不同,它支持GPU破解,速度更快,并且支持更多的hash算法!(破解一些小众密码还行,汗)!

支持多种hash算法 (可在同时破解多种hash)

支持多种驱动器 (可在同一系统多种设备中生效)

支持多种驱动器类型 (可在同一系统混合使用多种不同的设备)

支持分布式破解

支持会话与恢复

9. Maltego

Maltego是一款十分适合渗透测试人员和取证分析人员的优秀工具,其主要功能是开源情报收集和取证。比起其它的情报收集工具,Maltego显得格外不同并且功能强大,因为它不仅可以自动收集到所需信息,而且可以将收集的信息可视化,用一种格外美观的方式将结果呈现给使用者。

可以试试~

10.Social-Engineer Toolkit

社会工程师工具包(SET)全称为Social-Engineer Toolkit,由TrustedSec的创始人创建和编写。它是一个开源的Python驱动工具,旨在围绕社交工程进行渗透测试,已经在包括Blackhat,DerbyCon,Defcon和ShmooCon在内的大型会议上提出过。它拥有超过200万的下载量,旨在利用社会工程类型环境下的高级技术攻击。TrustedSec认为,社会工程学是最难防范的攻击方式之一,是现在最流行的攻击方式之一。

本文分享自微信公众号 - Ms08067安全实验室(Ms08067_com),作者:安全祖师爷

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【学员笔记分享】pikachu靶场暴力破解

    本周我主要计划打知识星球配套靶场里面的pikachu这个靶场,里面涉及了大部分常见的web漏洞,难度比较简单,适合新手练习。这次跟大家分享其中的暴力破解相关题目...

    徐焱
  • 利用Javascript做后门的利用方式

    徐焱
  • PHP远程代码执行漏洞复现(CVE-2019-11043)【反弹shell成功】

    CVE-2019-11043 是一个远程代码执行漏洞,使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞,可允许攻击者远程执行代码。

    徐焱
  • 动态 | 再无需从头训练迁移学习模型!亚马逊开源迁移学习数据库 Xfer

    Xfer 是一款针对 MXNet 的迁移学习,为适那些希望达到以下目的的从业者与研究人员而设计:

    AI科技评论
  • 物联网时代-跟着Thingsboard学IOT架构-MQTT设备协议

    演示视频请移步: https://james-1258744956.cos.ap-shanghai.myqcloud.com/thingsboard/mqtt-...

    sanshengshui
  • 在spring-boot中使用@ConfigurationProperties注解

    我是攻城师
  • Meterpreter实现网络穿透

    场景:攻击者拿下目标服务器发现目标服务器处于内网环境,内网中有其他服务器 目的:使用已经拿下的服务器作为网络跳板对处于目标内网的其他服务器进行攻击

    洛米唯熊
  • 【独家】DataVisor:基于Spark平台的智能大数据网络反欺诈(视频+PPT+课程精华笔记)

    [导读]为了让清华大学大数据能力提升项目的学生在基础学习和科研的基础之上,更好地了解大数据技术行业领域中的应用,清华-青岛数据科学研究院支持开设了金融大数据方向...

    数据派THU
  • 姿态估计 - 关键点 heatmap 生成方法对比

    AIHGF
  • Spring Boot 2.0 执行器端点(Actuator Endpoint)精简模式 顶

    在基于Spring Boot的应用程序内通过Endpoint可以根据应用程序业务需求实现自定义的监控接口,但目前的版本中实现自定义Endpoint需要实现该接口...

    Michael Chen

扫码关注云+社区

领取腾讯云代金券