跨平台版中国菜刀:Cknife介绍

Burp已经成了绿帽子门必不可少的工具,相信大家都装有Java环境,本软件支持1.7+以及所有安装了环境的系统。1.6后续会考虑兼容。 一直都有想写一款真正实用的跨平台类似的菜刀,然后可惜代码是个渣渣一直可望而不可即,后续随着公司业务增多,大多数目标都有WAF,于是就想写一款完全脱离工具,只依靠配置文件的菜刀。顺便当个码农~~~ 前前后后大约花了一个月,除了打飞机的时间基本就在写这货了,这里要感谢...

- 阅读全文 -

Layer子域名挖掘机4.2纪念版 增加功能

更新内容如下: 1、降级.NET版本至4.0,因之前有人反馈WIN2003无法使用,因为2003不能安装.NET4.5,现在win2003及XP都可以正常使用。 2、增加获取web服务器信息的功能,如果在渗透过程中,担心软件自动访问web服务器会记录到web日志,可以关闭获取WEB服务器信息功能,但是如果干特别大的坏事,人家还是可以通过运营商的渠道来抓你。 3、增加线程控制,因有不少人反馈,开全速...

- 阅读全文 -

免费Zend 5.2 5.3 5.4解密工具

最近在读一些有zend 5.4加密的代码,之前的黑刀无法解密5.4,网上找了下发现大多要收费,有一个工具叫G-DeZender能解5.4,但是未付费版本每点一次只能解密一个文件,这TM四五千个文件点完会死人的。 丢给公司的小莫同志研究了下,抓了下这个程序的进程,发现这个程序也是调用的本地文件去解密,那直接写个循环调用不就完了。。。 花了点时间抄了个SeayDzend,支持zend 5.2,zend...

- 阅读全文 -

Java反序列化利用工具 -- Java Deserialization Exp Tools

Java反序列化漏洞已经被曝出一段时间了,本人参考了网上大神的放出来的工具,将Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。FreeBuf上已经公开了JBoss反序列化执行命令回显的工具,在本文中就不多做叙述了。其实,WebSphere的利用过程也和JBoss差不多,只不过在发送Payload和解析结果的时候多了个Base64编码(解码)的过程。 本工具暂时支持...

- 阅读全文 -

BurpSuite集成Sqlmap神器!

设置很简单,这个已经是编译好的,只要在:extender-->extentions-->add 添加jar就OK了! 不过需要BurpSuite需要放到sqlmap根目录下! 本插件实现原理: 将目标请求的数据存放到临时文件中,然后调用"sqlmap.py -r $file"来启动对请求的sql注入检测 在Sqlmap tab中,你可以配置sqlmap除 -r外的其他参数,比如: 加入...

- 阅读全文 -

免密码hash登陆mysql

在获取到mysql用户的hash后, 可用hash直接登陆mysql进行操作 比如我们注入出数据库的hash,但是没办法拿到webshell 我们可以使用mysql_hash,用hash登陆并控制数据库 使用方法: mysql_hash.exe -u root -p < 1.txt Enter password: ***************************************...

- 阅读全文 -

御剑web指纹识别

御剑web指纹识别程序是一款CMS指纹识别小工具,该程序由.NET 2.0框架开发,配置灵活、支持自定义关键字和正则匹配两种模式、使用起来简洁、体验良好。在指纹命中方面表现不错、识别速度很快、但目前比较明显的缺陷是指纹的配置库偏少。       [download id="7"]

- 阅读全文 -

Adminer 适合扒裤子的mysql工具

Adminer是一个类似于phpMyAdmin的MySQL管理客户端。整个程序只有一个PHP文件,易于使用和安装。Adminer支持多语言(已自 带11种翻译语言文件,可以按自己的需求翻译相应的语言)。支持PHP4.3+,MySQL 4.1+以上的版本。 提供的功能包括: 1:创建,修改,删除索引/外键/视图/存储过程和函数。 2:查询,合计,排序数据。 3:新增/修改/删除记录。 4:支持所有数...

- 阅读全文 -