- 2021实战攻防企业红蓝对抗实践指南-长亭科技出品
- 应急相关内容积累
- Tomcat-Webshell:Tomcat-内存马-Webshell
- CTF-陇剑杯之内存分析-虚拟机内存取证
- Tomcat Filter类型内存马与查杀技术学习
- yingji:应急相关内容
- windows下的dns恶意外连应急排查|备份
- Mysql蜜罐反制Cobalt Strike|备份
- 对云函数隐藏C2技术的防御反制思路|备份
- 冰蝎v4.0传输协议详解|备份
- PrivescCheck-服务器权限&提权漏洞检查powershell脚本
- DuckMemoryScan-一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具
- CobaltStrikeForensic:用于研究恶意软件和colbatstrike beacons
- DetectCobaltStomp:检测指定进程是否存在CS
- Hunt-Sleeping-Beacons:发现休眠中的 CS beacons
- BeaconHunter:使用ETW检测CS beacons
- patriot:用于检测各种内存隐身技术的小型研究项目
- pe-sieve:扫描指定进程,识别并转储各种潜在的恶意植入程序(替换/注入的 PE、shellcode、钩子、内存patches)
- MalMemDetect:检测奇怪的内存区域和 DLL
- BeaconEye:查找CobaltStrike beacon
- CobaltStrikeScan:从进程或者文件中扫描 CobaltStrike并解析配置
- aLIEz:Java内存马查杀工具
- 微步在线-文件分析系统
- intezer-在线文件分析系统(类似微步)
- bazaar-在线文件分析系统
- 由Hybrid Analysis提供的在线文件分析系统
- jotti:在线文件分析系统
- 在线杀毒一
- 在线杀毒二
- 腾讯哈勃在线文件分析系统
- java-memshell-scanner:通过jsp脚本扫描java web Filter/Servlet型内存马
- ASP.NET-Memshell-Scanner:asp.net内存马检测工具
- 卸载冰蝎内存马
- Copagent:内存马查找工具
- MySQL_Fake_Server:MySQL 蜜罐|MysqlT:伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者
- LiqunShield:蓝队工具箱,可解爆破 webshell、解密哥斯拉流量等
- JSPKiller:基于污点分析的JSP Webshell检测工具,模拟JVM的栈帧操作进行数据流分析,可以检测出各种变形的JSP Webshell
- JspFinder:一款通过污点追踪发现Jsp webshell的工具
- log_dependency_checklist:检查系统依赖是否包含漏洞版本的 log4j
- MemoryShell:内存马相关学习以及防御检测
- SpringMemShell:Spring内存马研究
- FireKylin:火麒麟-网络安全应急响应工具(系统痕迹采集)
- idea-project-fish-exploit:JetBrains系列产品.idea钓鱼反制红队
- GetInfo:Windows 系统图形化快速取证软件
- Emergency-Response-Notes:应急响应实战笔记
- linux安全检查脚本
- LinuxCheck:Linux应急处置/信息搜集/漏洞检测工具
- CobaltStrikeScan.exe:cobaltstrike 内存扫描
- DuckMemoryScan.exe:检测绝大部分所谓的内存免杀马
- LiqunShield:Webshell流量解密(目前支持哥斯拉)
- BlueTeam_ABC_123:蓝队分析工具箱,目前支持 shiro 数据包解密,冰蝎哥斯拉解密开发中
- godzilla_decode:哥斯拉JSP和java内存马 全流量解密脚本
- godzilla_decoder:哥斯拉加密流量分析的辅助脚本
- inforgation:蓝队信息聚合查询工具
- 针对微信的调查取证工具,自动化提取本地PC所有的微信信息, 包括微信号, 手机号等
- WXDBDecrypt.NET:微信PC版数据库解密工具 .NET版本
- HScan:Linux主机日志分析排查脚本,定制化在主机中执行命令
- confluencePot:用 golang 编写,针对CVE-2022-26134的简单蜜罐
- JAVA 反序列化在线解析
- Shiro rememberMe 在线解密|第二个解密|第三个|第四个|第五个
- Windows-emergency-servicetools:Windows一键检测应急响应服务工具/r3数据采集引擎
- Ormicron/Sharp-dumpkey:基于C#实现的获取微信数据库密钥的小工具|chatViewTool:基于Java实现的图形化微信聊天记录解密查看器
- SerializationDumper:一种以更易读的形式转储 Java 序列化流的工具
- BCELCodeman:BCEL编码/解码
- moneta:适用与 Windows 的实时内存分析工具,可以检测恶意软件IOC
- CobaltStrikeParser:Python 编写的CobaltStrike beacon解析工具
- BlueHound:一款GUI版本主机威胁狩猎工具。支持上机/离线扫描webshell、CobaltStrike的beacon程序扫描以及内存扫描,基于.NET 4.6编译
- PowerSiem:系统检视工具日志的创建和验证 PowerShell 脚本,多用于恶意软件的IOC监测
- ShiroDecrypter:Shiro Decrypter是一个解密 Shiro-rememberMe的图形化小工具,支持cbc和gcm
- NoAgent-memshell-scanner:NoAgent内存马检测程序
- DecodeSomeJSPWebshell:部分jspwebshell通信流量加解密器(利用java Swing 简单写的一个jspWebshell 解密工具: 支持 冰蝎2,冰蝎3,哥斯拉)
- 阿里云在线沙箱|微步沙箱|any.run|virustotal
- 阿里云 webshel 检测|河马 webshell 检测|牧云 WebShell 检测引擎社区版 (Aka.关山)|百度WEBDIR+
- ide-honeypot:一款针对于IDE的反制蜜罐 IDE-honeypot
- javare:在线JAVA反向工程网,可以在线反编译 class 为 JAVA 文件
- FuckJsonp-RCE-CVE-2022-26809-SQL-XSS-FuckJsonp:一种针对红队的新型溯源手段
- chainsaw: 快速搜索和狩猎Windows事件日志
- epagneul:Windows 事件日志的图形可视化展示
- EVTX-ATTACK-SAMPLES:Windows 攻击日志示例(200+)
- Microsoft-eventlog-mindmap:Windows 事件日志的脑图,它使防御者能够出于不同目的增强对受监控资产的可见性
- LogonTracer:通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录
- EmoCheck:适用于 Windows 操作系统的 Emotet 检测工具
- SysmonSearch:通过可视化 Sysmon 的事件日志来调查可疑活动
- hardentools: 通过禁用容易实现的风险功能来简单地减少 Microsoft Windows 计算机上的攻击面
- privatezilla:执行 Windows 10 的隐私和安全检查
- DuckSysEye:解决杀毒软件无法查杀的木马或者高级威胁
- PowerHuntShares:PowerHuntShares是一个审计脚本,设计用于盘点、分析和报告Active Directory域上配置的滥用权限
- MenoyGone:通过 DOS 来耗尽 CS 云函数的调用额度
- bypass-BeaconEye:顾名思义,用来 bypass BeaconEye 的方法
- JavaAgentTools:用Java agent实现内存马等功能
- weblogic_memshell:适用于weblogic和Tomcat的无shell的内存马
- MemoryShellLearn:内存马学习以及部分 Demo
- reMemshell:Java Agent内存马
- Memory:内存马注入,内存马检测,filter、listener、servlet
- 钉钉 RCE
- 向日葵 RCE|Sunlogin_RCE-GUI:向日葵漏洞图形化利用工具|sunlogin_exp_for_tututu:基于 nmap的向日葵RCE 扫描工具
- sendMail:批量发送钓鱼邮件
- CVE-2022-30190-follina-Office-MSDT-Fixed:CVE-2022-30190-follina.py-修改版,可以自定义word模板,方便实战中钓鱼使用
- ysoserial:魔改版 ysoserial ,支持基础链版本的覆盖、利用链的扩充和丰富、利用方式的填充、利用链探测、内存马、防御绕过、MSF/CS 上线等,总之,卷王出品,强的离谱
- 探寻Tomcat文件上传流量层面绕waf新姿势
- SharpXDecrypt:Xshell全版本密码恢复工具
- veinmind-tools:容器安全工具集
- Plog:仅用于提取登录密码的 Mimikatz(免杀大多数 AV)
- ShellcodeLoader:绕过防病毒软件的Shellocde加载器
- iisScaner:多线程批量检测IIS短文件名漏洞+漏洞利用
- AKtools-Java版的aliyun-accesskey-Tools|aliyun-accesskey-Tools-此工具用于查询ALIYUN_ACCESSKEY的主机,并且远程执行命令|alicloud-tools:阿里云ECS、策略组辅助小工具
- dismember:扫描内存里敏感内容,其实就是类似 OD的内存字符串搜索
- ByPassBehinder4J:冰蝎Java WebShell免杀生成
- wsMemShell:一种全新的内存马
- oss-browser:OSS Browser 提供类似windows资源管理器功能。用户可以很方便的浏览文件,上传下载文件,支持断点续传等
- Remote_ShellcodeLoader:远程shellcode加载&权限维持+小功能
- BrowserGhost-一个抓取浏览器密码的工具,后续会添加更多功能
- GoSmbExec:横向移动工具SMBExec的 golang 版本实现
- Malleable-C2-Randomizer:随机生成 cobaltstrike 的C2配置文件,以降低被标记和发现的概率
- JNDI-Inject-Exploit:解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用,探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入(支持JNDI注入高版本JDK Bypass命令回显、内存马注入)
- sRDI:反射 DLL 注入的 Shellcode 实现,将 DLL 转换为与位置无关的 shellcode
- ShiroScan-Shiro<=1.2.4反序列化,一键检测工具|Apache shiro <= 1.2.4 rememberMe 反序列化漏洞利用工具|ShiroScan-Shiro RememberMe 1.2.4 反序列化漏洞图形化检测工具(Shiro-550)|shiro_attack-shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马,支持shiro > 1.4.2 )-shiro_attack_1.5.zip下载|又一个Shiro反序列化利用工具
- cs2modrewrite:将 Cobalt Strike 配置文件转换为 modrewrite 脚本
- ones:可用于多个网络资产测绘引擎 API 的命令行查询工具
- GetOut360:管理员权限下强制关闭360
- shellcode:免杀 shellcode
- exe2shellcode:远程下载并在内存中执行 shellcode 的框架
- fscan-Intranet:fscan的内网修改版
- sshdHooker:注入SSHD进程并记录ssh登录的密码
- go-cdn2proxy:使用 websocket 通过 CDN 代理您的 C2 流量
- crayfish:更优美、更快速、更全面的渗透测试信息收集工具【闭源】
- Linux提权辅助检测Perl脚本|Linux提权辅助检测bash脚本
- attackRmi:使用socket直接发送数据包来攻击rmi
- csharp-ShellcodeLoader:基于csharp实现的免杀shellcode加载器
- gost:GO语言实现的安全隧道
- addMemShellsJSP:通过jsp注入valve内存马,可以忽略框架影响,通用tomcat789
- GarBageTools-public:支持致远、蓝凌、万户、帆软报表、fastjson、el表达式shell等功能的漏洞利用工具
- NoNetCmdEcho-FileW.e:应对渗透中极限环境下命令回显 & 文件落地
- goblin:一款适用于红蓝对抗中的仿真钓鱼系统
- EasyFish:参考Gophish框架,重构的轻量级钓鱼追踪工具
- winlog:一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录(其实也可以用于蓝队)
- sshpam:记录ssh或sudo明文密码
- JSBypassAV:适用于 CS 下生成 jsbypass
- msmap:内存webshell 生成工具
- rproxy:自动化的代理服务器
- TamperingSyscalls:绕过 EDR 的系统调用达到免杀
- ReturnGate:绕过 EDR 获取 sysid 来达到免杀
- HostCollision:用于host碰撞而生的小工具,专门检测渗透中需要绑定hosts才能访问的主机或内部系统
- Armor:浏览器反蜜罐插件
- Forest:基于frp(0.44.0)二次开发,删除不必要功能,加密配置文件,修改流量以及文件特征
- AceLdr:Cobalt Strike UDRL 用于内存扫描bypass
- 利用 PHP-FPM 做内存马的方法|备份
- mscan:一款域渗透扫描工具,方便一键自动化、全方位的信息收集及扫描域提权漏洞
- Elevator:UAC Bypass by abusing RPC and debug objects.
- GetMail:利用NTLM Hash读取Exchange邮件
- hoaxshell:一款功能强大的非传统Windows反向Shell
jvm-http-proxy-agent:一个 JVM 代理,它为所有主要的 JVM HTTP 客户端自动强制代理 HTTP(S) 连接并信任 MitM 证书
CppWeixinHunter:微信内存信息提取 c++实现。可获取自己电脑上已登录微信的微信号,wxid,手机号,sqlite解密密钥。