跨平台版中国菜刀:Cknife介绍

分类:工具 | 2017-03-16 | 撸过 4,812 次
2人扯谈

Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正实用的跨平台类似的菜刀,然后可惜代码是个渣渣一直可望而不可即,后续随着公司业务增多,大多数目标都有WAF,于是就想写一款完全脱离工具,只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月,除了打飞机的时间基本就在写这货了,这里要感谢@MelodyZX  牛,在我完成大体框架后,帮了我不少大忙,包括完成虚拟终端,非常感谢。 程序采用java语言编写,数据库采用了sqlite,本来想使用access,但是在jdk1.8以后移除了该功[......]

继续阅读

Layer子域名挖掘机4.2纪念版 增加功能

分类:工具 | 2017-02-6 | 撸过 2,014 次
0人扯谈

更新内容如下:

1、降级.NET版本至4.0,因之前有人反馈WIN2003无法使用,因为2003不能安装.NET4.5,现在win2003及XP都可以正常使用。

2、增加获取web服务器信息的功能,如果在渗透过程中,担心软件自动访问web服务器会记录到web日志,可以关闭获取WEB服务器信息功能,但是如果干特别大的坏事,人家还是可以通过运营商的渠道来抓你。

3、增加线程控制,因有不少人反馈,开全速的时候,他们的小电脑会卡死,反正我电脑跑起来妥妥的,所以默认设置为全速。

4、增加右键复制所选项,胖子硬提出的需求。

5、修复了一个线程锁的问题,没修复前会引起程序崩溃。[......]

继续阅读

免费Zend 5.2 5.3 5.4解密工具

分类:工具 | 2017-02-6 | 撸过 2,013 次
2人扯谈

最近在读一些有zend 5.4加密的代码,之前的黑刀无法解密5.4,网上找了下发现大多要收费,有一个工具叫G-DeZender能解5.4,但是未付费版本每点一次只能解密一个文件,这TM四五千个文件点完会死人的。

丢给公司的小莫同志研究了下,抓了下这个程序的进程,发现这个程序也是调用的本地文件去解密,那直接写个循环调用不就完了。。。

花了点时间抄了个SeayDzend,支持zend 5.2,zend5.3,zend5.4 的解密,造福下大众,
[......]

继续阅读

Java反序列化利用工具 -- Java Deserialization Exp Tools

分类:工具 | 2016-11-5 | 撸过 4,005 次
1人扯谈

Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。
本工具暂时支持的功能:
1、本地命令执行并回显,无须加载外部jar包,支持纯内网环境检测。
2、支持JBoss、WebSphere和Weblogic的反序列化漏洞检测。
3、支持https数据传输。
4、[......]

继续阅读

BurpSuite集成Sqlmap神器!

分类:工具 | 2016-06-30 | 撸过 1,319 次
0人扯谈

设置很简单,这个已经是编译好的,只要在:extender-->extentions-->add 添加jar就OK了!

不过需要BurpSuite需要放到sqlmap根目录下!

本插件实现原理:

将目标请求的数据存放到临时文件中,然后调用"sqlmap.py -r $file"来启动对请求的sql注入检测 在Sqlmap tab中,你可以配置sqlmap除 -r外的其他参数,比如:
加入配置中写:"--level 3",真实执行时是:sqlmap.py -r $file --level 3
回到burpsuite主页面,在任何请求连接上右键,会看到新增"send to Sqlmap",点击后会开启cmd窗口,针对此请求进行sql注入检测

设置sqlmap参数:
[......]

继续阅读

免密码hash登陆mysql

分类:工具 | 2016-06-28 | 撸过 1,994 次
1人扯谈

在获取到mysql用户的hash后,
可用hash直接登陆mysql进行操作
比如我们注入出数据库的hash,但是没办法拿到webshell
我们可以使用mysql_hash,用hash登陆并控制数据库
使用方法:

mysql_hash.exe -u root -p < 1.txt

Enter password: *****************************************
其中1.txt在同目录,内容为你想执行的sql语句,
比如:show databases;

[......]

继续阅读

御剑web指纹识别

分类:工具 | 2015-08-24 | 撸过 1,607 次
0人扯谈

御剑web指纹识别程序是一款CMS指纹识别小工具,该程序由.NET 2.0框架开发,配置灵活、支持自定义关键字和正则匹配两种模式、使用起来简洁、体验良好。在指纹命中方面表现不错、识别速度很快、但目前比较明显的缺陷是指纹的配置库偏少。

[......]

继续阅读

Adminer 适合扒裤子的mysql工具

分类:工具 | 2014-12-23 | 撸过 2,982 次
0人扯谈

Adminer是一个类似于phpMyAdmin的MySQL管理客户端。整个程序只有一个PHP文件,易于使用和安装。Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持PHP4.3+,MySQL 4.1+以上的版本。

提供的功能包括:

1:创建,修改,删除索引/外键/视图/存储过程和函数。
2:查询,合计,排序数据。
3:新增/修改/删除记录。
4:支持所有数据类型,包括大字段。
5:能够批量执行SQL语句。
6:支持将数据,表结构,视图导成SQL或CSV。
7:能够外键关联打印数据库概要。
8:能够查看进程和关闭进程。
9:能够查看用户和权限并修改。[......]

继续阅读

wdcp面板爆严重漏洞附利用工具

分类:工具 | 2014-12-23 | 撸过 3,289 次
1人扯谈

QQ截图20141223133538

[......]

继续阅读

ms08066提权 XP提权/2003提权

分类:工具 | 2014-10-1 | 撸过 1,519 次
4人扯谈

6619296394211713340

 
[......]

继续阅读

第 1 页,共 6 页12345...最旧 »