這些年,我們一直追逐的漏洞利用神器
- 2020 年 4 月 8 日
- 筆記
現在,也許我們所認為的漏洞利用工具神器,十年後,又該會是什麼樣子呢?可能大概就像我們現在看到以前的啊d注入工具的樣子吧。
近幾日,我忽然思考這樣一個問題:如果一種漏洞類型,讓你推薦一款與之強相關的漏洞利用神器,你會怎麼推薦?
下面,我來分享一下我心裡的答案,推薦幾款我認為的漏洞利用神器,歡迎各位來一起補充。
1、SQL注入漏洞
推薦項目:SQLmap
項目地址:http://sqlmap.org/
推薦理由:殿堂級工具,注入神器,效果誰用誰知道。
2、XSS
推薦項目:beef
項目地址:
https://beefproject.com/
推薦理由:專門針對瀏覽器攻擊的框架,一個專註於Web瀏覽器的滲透測試工具。
3、文件包含漏洞
推薦項目:LFISuite,
項目地址:
https://github.com/D35m0nd142/LFISuite
推薦理由:一款全自動工具,能夠使用多種不同攻擊方法來掃描和利用本地文件包含漏洞。
4、CSRF
推薦項目:CSRFTester
項目地址:
https://wiki.owasp.org/index.php/File:CSRFTester-1.0.zip
推薦理由:一款CSRF漏洞的測試工具,集抓包和Poc構造與一體。
5、XXE(外部實體注入漏洞)
推薦項目:XXEinjector
項目地址:
https://github.com/enjoiz/XXEinjector
推薦理由:使用直接和不同帶外方法自動利用XXE漏洞的工具。
6、Xpath注入
推薦項目:XCat
項目地址:
https://github.com/orf/xcat
推薦理由:一個命令行工具,可以利用和檢測XPath盲注漏洞。
7、Struts漏洞利用
推薦項目:K8 Struts2 Exploit
推薦理由:Struts2綜合漏洞利用工具,包含收集資訊,執行命令、文件上傳、連接小馬、文件管理等功能。
8、Jboss漏洞
推薦項目:JexBoss
項目地址:
https://github.com/joaomatosf/jexboss
推薦理由:掃描和檢測Jboss中可能存在多個安全漏洞。
9、路由器漏洞
推薦項目:RouterSploit
項目地址:
https://github.com/threat9/routersploit
推薦理由:一款專門針對嵌入式設備的漏洞利用工具,包含了27個品牌的上百種漏洞利用模組,涉及的路由器、攝影機等設備有幾百種。
重複造輪子者甚多,而能夠稱之為神器的工具甚少,我們應當時常心懷感激,感謝每一位安全開發者的無私奉獻。
