Skip to content

0x03 打点突破

Jump to bottom
Lintstar edited this page Jan 7, 2022 · 5 revisions

LiqunKit 🌟【综合】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/Liqunkit/LiqunKit_

About

漏洞辅助工具箱

image-20220106200050422

Ysomap 🌟【ysoserial】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/wh1t3p1g/ysomap

YSOMAP食用指北

About

Ysomap 是一款适配于各类实际复杂环境基于 ysoserial 的 Java反序列化利用框架

  • tabby 的子项目
  • 生成序列化后的payload
  • 利用ysomap的exploit包进行攻击

image-20210828202932475

Shiro_attack 🌟【Shiro】

Java GitHub stars GitHub forks GitHub last commit

Link

https://github.com/j1anFen/shiro_attack

About

Shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马)

img

Weblogic_exploit 🌟【Weblogic】

Link

Weblogic常见高危漏洞的综合利用

https://github.com/21superman/weblogic_exploit (原地址已丢失 😔 )

About

最好用的 Weblogic 反序列化 RCE 图形化利用工具

image-20210828203651540

Struts2VulsTools 🌟【Struts2】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/shack2/Struts2VulsTools

About

Struts2系列漏洞检查工具

image-20210826103619431

JNDIExploit 🌟【JNDI】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/0x727/JNDIExploit

About

一款用于 JNDI注入 利用的工具,大量参考/引用了 Rogue JNDI 项目的代码,支持直接 植入内存shell,并集成了常见的 bypass 高版本JDK 的方式,适用于与自动化工具配合使用。

image-20211029165841118

SpringBootExploit 🌟【SpringBoot】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/0x727/SpringBootExploit

About

一款针对 SpringBootEnv 页面进行快速漏洞利用的工具

推荐配合上一个项目 JNDIExploit 使用

image-20211029165504194

Fastjson_rce_tool【Fastjson】

Java GitHub stars GitHub forks GitHub last commit

Link

https://github.com/wyzxxz/fastjson_rce_tool

About

Fastjson命令执行自动化利用工具, remote code execute,JNDI服务利用工具 RMI/LDAP,LDAP反序列方式部分回显

image-20210827164922271

ThinkphpGUI【Thinkphp】

Java GitHub stars GitHub forks GitHub last commit

Link

https://github.com/Lotus6/ThinkphpGUI

About

Thinkphp(GUI)漏洞利用工具,支持各版本TP漏洞检测,命令执行,Getshell

image-20210902105234217

Redis RCE【Redis】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/Ridter/redis-rce

About

Redis 4.x/5.x RCE的漏洞利用,基于 redis-rogue-server 改版。

img

RabR【Redis】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/0671/RabR

About

Redis-Attack By Replication (通过主从复制攻击Redis)

  • 攻击Linux下的Redis,可执行命令和反弹shell
  • 攻击Window x64下的Redis,可执行命令
  • 本工具在攻击前会备份目标Redis的数据,在攻击结束后会进行恢复

本工具基于Ridter师傅的redis-rce 进行修改。

image-20210708190457889

MDUT 🌟【数据库】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/SafeGroceryStore/MDUT

About

MDUT 全称 Multiple Database Utilization Tools,是一款中文的数据库跨平台利用工具,集合了多种主流的数据库类型。基于前人 SQLTOOLS 的基础开发了这套程序(向 SQLTOOLS 致敬),旨在将常见的数据库利用手段集合在一个程序中,打破各种数据库利用工具需要各种环境导致使用相当不便的隔阂。

image-20210826151732701

Seeyon_exp【致远】

GitHub top language GitHub stars GitHub forks GitHub last commit

link

https://github.com/Summer177/seeyon_exp

About

致远OA漏洞检查与利用工具

image-20211011003754260

TDOA_RCE【通达】

GitHub top language GitHub stars GitHub forks GitHub last commit

Link

https://github.com/xinyu2428/TDOA_RCE

About

通达OA综合利用工具

  • 任意用户登录POC: 4个 + 1个
  • SQL注入POC: 2个
  • 后台文件上传POC: 3个
  • 本地文件包含POC: 2个
  • 前台文件上传POC(非WEB目录): 1个
  • 任意文件删除POC: 1个
  • SSRF+Redis利用链: 1个

image-20211011004338312

Clone this wiki locally