Post
安全工具资源:AWVS、mimikatz 与 Kerberos 攻击工具
安全工具资源整理:渗透测试与漏洞扫描工具集锦
概述
本文整理了渗透测试领域常用的Web漏洞扫描工具、Windows凭证提取工具、Kerberos攻击工具等安全工具的博客教程与代码仓库链接,涵盖漏洞扫描、权限提升、中间人攻击、密码破解等场景的实用工具资源。
工具分类与资源链接
Web漏洞扫描工具
-
AWVS(Acunetix Web Vulnerability Scanner)
官方API文档 | 使用教程
专业级Web应用漏洞扫描工具,支持API接口调用与自动化扫描。 -
sqlmap
GitHub仓库
自动化SQL注入检测与利用工具,支持多种数据库类型。 -
whatweb
GitHub仓库
网站指纹识别工具,可检测CMS、插件、服务器类型等信息。 -
dirsearch
GitHub仓库
Web路径扫描工具,支持多线程与自定义字典。
Windows凭证提取与权限提升
-
mimikatz
GitHub仓库 | 使用教程
Windows凭证提取工具,可提取内存中的明文密码、哈希值等敏感信息。 -
PowerSploit
GitHub仓库
PowerShell渗透工具集,包含权限提升、后门植入等功能。 -
Rubeus
使用教程
Kerberos攻击工具,支持票据操作与黄金票据生成。
子域名枚举与信息收集
-
subDomainsBrute
GitHub仓库
经典子域名爆破工具,支持自定义字典与多线程扫描。 -
wydomain
GitHub仓库
子域名字典穷举工具,适用于大规模目标扫描。 -
GoogleSSLdomainFinder
GitHub仓库
基于Google SSL透明证书的子域名查询脚本。
密码破解与弱口令检测
-
john-the-ripper
GitHub仓库
高效密码破解工具,支持多种哈希算法。 -
LaZagne
GitHub仓库
本地密码提取工具,可提取浏览器、系统等存储的明文密码。 -
htpwdScan
GitHub仓库
HTTP暴力破解与撞库攻击脚本,支持多线程与代理配置。
中间人攻击与钓鱼工具
-
BDFProxy
GitHub仓库
中间人攻击框架,支持SSL剥离与会话劫持。 -
wifiphisher
GitHub仓库
Wi-Fi钓鱼工具,通过伪造接入点实施中间人攻击。 -
MITMf
GitHub仓库
可扩展的中间人代理工具,支持自定义攻击模块。
漏洞利用与攻击框架
-
Metasploit
GitHub仓库
综合性漏洞利用框架,包含大量Exploit模块与Payload。 -
Pocsuite
GitHub仓库
POC调用框架,支持加载多种漏洞验证脚本。 -
ExploitDB
GitHub仓库
官方漏洞利用数据库,包含大量CVE编号的Exploit代码。
其他实用工具
-
GitHack
GitHub仓库
利用.git泄露的漏洞利用工具,可提取源码与敏感信息。 -
BeEF
GitHub仓库
浏览器攻击框架,通过JavaScript注入实现会话劫持等攻击。 -
reGeorg
GitHub仓库
通过HTTP隧道实现的后门通信工具,适用于内网渗透。
注意事项
- 法律与道德边界:所有工具仅用于合法授权的渗透测试,禁止用于非法入侵或数据窃取。
- 环境依赖:部分工具需配合特定环境(如Windows系统、Kali Linux)使用,需提前确认依赖项。
- 更新与维护:工具库可能随时间更新,建议定期访问官方仓库获取最新版本与漏洞修复。
总结
本文整理的工具资源覆盖了渗透测试的多个关键环节,从信息收集到漏洞利用均有对应工具支持。使用时需结合具体场景选择合适工具,并严格遵守相关法律法规。对于复杂攻击链,建议结合多个工具协同使用以提高效率。