command injection
This commit is contained in:
euphrat1ca 2019-12-11 18:53:10 +08:00
parent 348caec33c
commit f60bb2d898
3 changed files with 21 additions and 14 deletions

View File

@ -1,4 +1,5 @@
***项目简介***
根据中华人民共和国《网络安全法》相关政策规定,本文章只做学习测试,不被允许通过本文章技术手段进行非法行为,使用技术的风险由您自行承担(The author does not assume any legal responsibility.)<br>
&emsp;&emsp;https://github.com/euphrat1ca/security_w1k1<br>
&emsp;&emsp;信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、擦痕迹。<br>
&emsp;&emsp;几千行的项目有点过于庞大,于是在第两百次更新的时候,选择把一些较为频繁的持续更新内容分到其它文件内。<br>
@ -1812,7 +1813,6 @@
# wiki_TipSkill
- https://github.com/euphrat1ca/security_w1k1/blob/master/wiki_TipSkill.md/ //计算机技术相关.myWiki
******
***个人维护的安全预警维基百科,根据中华人民共和国《网络安全法》相关政策规定,本文章只做安全预警,不被允许通过本文章技术手段进行非法行为,使用技术的风险由您自行承担***
- https://www.anquanke.com/opensource //GitHub安全类目引擎热度时间
- https://github.com/We5ter/Scanners-Box //增加条目细化分类。4k。
- https://github.com/topics/security //GitHub安全类目

View File

@ -136,6 +136,8 @@
- https://github.com/stascorp/rdpwrap //Pascal.开启异步并发rdp请求服务
- http://sc.ftqq.com/3.version //server酱微信通知
- http://www.vuln.cn/tools/ftp //在线FTP登录
### 电商
- https://github.com/itcloudy/ERP //go.基于beego的进存销管理系统
### 文档处理
- https://smallpdf.com/ //
- http://pdftoword.55.la/ //

View File

@ -1,6 +1,11 @@
## web安全前端利用
### Web利用漏洞工具
- https://github.com/hahwul/a2sv //SSL漏洞扫描包括OpenSSL心脏滴血漏洞\CSS注入\SSLv3 POODLE等
## web安全测试利用
- https://github.com/Bo0oM/PHP_imap_open_exploit //利用imap_open绕过php exec函数禁用
- https://github.com/gh0stkey/PoCBox //PHP.漏洞测试验证/报告生成平台。SONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
- https://github.com/utiso/dorkbot //通过定制化的谷歌搜索引擎进行漏洞页面搜寻及扫描
- https://github.com/NullArray/DorkNet //基于搜索引擎的漏洞网页搜寻
- https://github.com/18F/domain-scan //针对域名及其子域名的资产数据检测扫描包括http/https检测等
- https://github.com/jcesarstef/dotdotslash //目录遍历漏洞测试
### 前端利用
- https://github.com/Valve/fingerprintjs2 //JS.被动式浏览器全指纹库获取。8k。goodjob。Browser Fingerprinting via OS and Hardware Level Features。
- https://github.com/Song-Li/cross_browser //JS.被动式跨浏览器指纹追踪识别支持硬件特征显卡、cpu核数等识别。指纹追踪技术—跨浏览器指纹识别crossbrowsertracking_NDSS17.pdf。
- https://github.com/WMJonssen/Centcount-Analytics //PHP.数据库mysql/redis网站分析软件支持浏览器指纹、事件追踪、鼠标轨迹
@ -10,20 +15,20 @@
- https://github.com/chenjj/CORScanner //PY.CORS域配置错误跨域解析漏洞扫描器。
- https://www.jianjunchen.com/post/cors安全部署最佳实践/ //intro。CORScanner
- https://www.anquanke.com/post/id/152339 //JSONP和CORS跨站跨域读取资源的漏洞利用附带EXP。JSON Hijacking实战利用多种利用方式
- https://github.com/Bo0oM/PHP_imap_open_exploit //利用imap_open绕过php exec函数禁用
- https://github.com/rudSarkar/crlf-injector //CRLF注入漏洞批量扫描
- https://github.com/lietdai/doom //thorn上实现的分布式任务分发的ip端口漏洞扫描器
- https://github.com/gh0stkey/PoCBox //PHP.漏洞测试验证/报告生成平台。SONP劫持、CORS、Flash跨域资源读取、Google Hack语法生成、URL测试字典生成、JavaScript URL跳转、302 URL跳转
- https://github.com/utiso/dorkbot //通过定制化的谷歌搜索引擎进行漏洞页面搜寻及扫描
- https://github.com/NullArray/DorkNet //基于搜索引擎的漏洞网页搜寻
- https://github.com/MichaelStott/CRLF-Injection-Scanner //PY3.CRLF injection列表
- https://github.com/m3liot/shcheck //用于检查web服务的http header的安全性
- https://github.com/18F/domain-scan //针对域名及其子域名的资产数据检测扫描包括http/https检测等
- https://github.com/commixproject/commix //命令注入漏洞扫描
- https://github.com/jcesarstef/dotdotslash //目录遍历漏洞测试
- https://github.com/m101/hsploit //基于rust的 HEVD 漏洞利用程序
- https://github.com/m101/hsploit //RUST.HEVD 漏洞利用程序
- https://github.com/rudSarkar/crlf-injector //CRLF注入漏洞批量扫描
- https://github.com/coffeehb/SSTIF //SSTI (服务器模板注入) 漏洞的半自动化工具
- https://github.com/tijme/angularjs-csti-scanner //探测客户端AngularJS模板注入漏洞工具
- https://github.com/epinna/tplmap //SSTI (服务器模板注入) 漏洞检测与利用工具
### TLS/SSL安全
- https://github.com/hahwul/a2sv //SSL漏洞扫描包括OpenSSL心脏滴血漏洞\CSS注入\SSLv3 POODLE等
- https://github.com/nabla-c0d3/sslyze //PY3.SSL/TLS server扫描器
### 命令执行注入
- https://github.com/payloadbox/command-injection-payload-list //命令执行注入列表
- https://github.com/commixproject/commix //PY.命令注入漏洞扫描
- https://github.com/ewilded/shelling //JAVA.burp拓展OS命令注入有效负载生成器关于命令注入的解决方案防御手段。
### CSRF跨站请求伪造利用
- https://www.owasp.org/index.php/File:CSRFTester-1.0.zip //java.csrf验证工具
- https://github.com/d0nutptr/sic //RUST.CSS注入csrf攻击