- 2021实战攻防企业红蓝对抗实践指南-长亭科技出品
- 应急相关内容积累
- Tomcat-Webshell:Tomcat-内存马-Webshell
- CTF-陇剑杯之内存分析-虚拟机内存取证
- Tomcat Filter类型内存马与查杀技术学习
- yingji:应急相关内容
- windows下的dns恶意外连应急排查|备份
- Mysql蜜罐反制Cobalt Strike|备份
- 对云函数隐藏C2技术的防御反制思路|备份
- 冰蝎v4.0传输协议详解|备份
- WorkMiner挖矿木马应急处置手册|原文|备份
- 使用Sqlmap的你可能踩中了“蜜罐”|备份|备份1
- SuperShell溯源反制-默认密钥/密码利用|备份
- 服务隐藏与排查 | Windows 应急响应|备份
- Windows快捷方式利用技巧|备份
- Linux提权过程中的各种姿势|备份
- linglong:一款甲方资产巡航扫描系统的JWT硬编码密钥之殇 | 备份
- 一种 ysoserial.jar 反序列化Payload的解码
- 利用Yara快速狩猎内存中的威胁
- 如何在 Windows 7 (win7) 系统上追踪发起DNS请求的进程
- 使用 DNSLookupView 在Windows系统上监控DNS请求
- CobaltStrike(4.9.1)的狩猎与反狩猎 · Arui's blog
- ICMP_DNS 隧道处置方法 _ Linux 应急响应
- ICMP_DNS 隧道处置方法 _ Windows 应急响应
- PrivescCheck-服务器权限&提权漏洞检查powershell脚本
- DuckMemoryScan-一个简单寻找包括不限于iis劫持,无文件木马,shellcode免杀后门的工具
- CobaltStrikeForensic:用于研究恶意软件和colbatstrike beacons
- DetectCobaltStomp:检测指定进程是否存在CS
- Hunt-Sleeping-Beacons:发现休眠中的 CS beacons
- BeaconHunter:使用ETW检测CS beacons
- patriot:用于检测各种内存隐身技术的小型研究项目
- pe-sieve:扫描指定进程,识别并转储各种潜在的恶意植入程序(替换/注入的 PE、shellcode、钩子、内存patches)
- MalMemDetect:检测奇怪的内存区域和 DLL
- BeaconEye:查找CobaltStrike beacon
- CobaltStrikeScan:从进程或者文件中扫描 CobaltStrike并解析配置
- aLIEz:Java内存马查杀工具
- 微步在线-文件分析系统
- intezer-在线文件分析系统(类似微步)
- bazaar-在线文件分析系统
- 由Hybrid Analysis提供的在线文件分析系统
- jotti:在线文件分析系统
- 在线杀毒一
- 在线杀毒二
- 腾讯哈勃在线文件分析系统
- java-memshell-scanner:通过jsp脚本扫描java web Filter/Servlet型内存马
- ASP.NET-Memshell-Scanner:asp.net内存马检测工具
- 卸载冰蝎内存马
- Copagent:内存马查找工具
- MySQL_Fake_Server:MySQL 蜜罐|MysqlT:伪造Myslq服务端,并利用Mysql逻辑漏洞来获取客户端的任意文件反击攻击者
- LiqunShield:蓝队工具箱,可解爆破 webshell、解密哥斯拉流量等
- JSPKiller:基于污点分析的JSP Webshell检测工具,模拟JVM的栈帧操作进行数据流分析,可以检测出各种变形的JSP Webshell
- JspFinder:一款通过污点追踪发现Jsp webshell的工具
- log_dependency_checklist:检查系统依赖是否包含漏洞版本的 log4j
- MemoryShell:内存马相关学习以及防御检测
- SpringMemShell:Spring内存马研究
- FireKylin:火麒麟-网络安全应急响应工具(系统痕迹采集)
- idea-project-fish-exploit:JetBrains系列产品.idea钓鱼反制红队
- GetInfo:Windows 系统图形化快速取证软件
- Emergency-Response-Notes:应急响应实战笔记
- linux安全检查脚本
- LinuxCheck:Linux应急处置/信息搜集/漏洞检测工具
- CobaltStrikeScan.exe:cobaltstrike 内存扫描
- DuckMemoryScan.exe:检测绝大部分所谓的内存免杀马
- LiqunShield:Webshell流量解密(目前支持哥斯拉)
- BlueTeam_ABC_123:蓝队分析工具箱,目前支持 shiro 数据包解密,冰蝎哥斯拉解密开发中
- godzilla_decode:哥斯拉JSP和java内存马 全流量解密脚本
- godzilla_decoder:哥斯拉加密流量分析的辅助脚本
- inforgation:蓝队信息聚合查询工具
- 针对微信的调查取证工具,自动化提取本地PC所有的微信信息, 包括微信号, 手机号等
- WXDBDecrypt.NET:微信PC版数据库解密工具 .NET版本
- HScan:Linux主机日志分析排查脚本,定制化在主机中执行命令
- confluencePot:用 golang 编写,针对CVE-2022-26134的简单蜜罐
- JAVA 反序列化在线解析
- Shiro rememberMe 在线解密|第二个解密|第三个|第四个|第五个
- Windows-emergency-servicetools:Windows一键检测应急响应服务工具/r3数据采集引擎
- Ormicron/Sharp-dumpkey:基于C#实现的获取微信数据库密钥的小工具|chatViewTool:基于Java实现的图形化微信聊天记录解密查看器
- SerializationDumper:一种以更易读的形式转储 Java 序列化流的工具
- BCELCodeman:BCEL编码/解码
- moneta:适用与 Windows 的实时内存分析工具,可以检测恶意软件IOC
- CobaltStrikeParser:Python 编写的CobaltStrike beacon解析工具
- BlueHound:一款GUI版本主机威胁狩猎工具。支持上机/离线扫描webshell、CobaltStrike的beacon程序扫描以及内存扫描,基于.NET 4.6编译
- PowerSiem:系统检视工具日志的创建和验证 PowerShell 脚本,多用于恶意软件的IOC监测
- ShiroDecrypter:Shiro Decrypter是一个解密 Shiro-rememberMe的图形化小工具,支持cbc和gcm
- NoAgent-memshell-scanner:NoAgent内存马检测程序
- DecodeSomeJSPWebshell:部分jspwebshell通信流量加解密器(利用java Swing 简单写的一个jspWebshell 解密工具: 支持 冰蝎2,冰蝎3,哥斯拉)
- 阿里云在线沙箱|微步沙箱|any.run|virustotal
- 阿里云 webshell 检测|河马 webshell 检测|牧云 WebShell 检测引擎社区版 (Aka.关山)|百度WEBDIR+
- ide-honeypot:一款针对于IDE的反制蜜罐 IDE-honeypot
- javare:在线JAVA反向工程网,可以在线反编译 class 为 JAVA 文件
- FuckJsonp-RCE-CVE-2022-26809-SQL-XSS-FuckJsonp:一种针对红队的新型溯源手段
- chainsaw: 快速搜索和狩猎Windows事件日志
- epagneul:Windows 事件日志的图形可视化展示
- EVTX-ATTACK-SAMPLES:Windows 攻击日志示例(200+)
- Microsoft-eventlog-mindmap:Windows 事件日志的脑图,它使防御者能够出于不同目的增强对受监控资产的可见性
- LogonTracer:通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录
- EmoCheck:适用于 Windows 操作系统的 Emotet 检测工具
- SysmonSearch:通过可视化 Sysmon 的事件日志来调查可疑活动
- hardentools: 通过禁用容易实现的风险功能来简单地减少 Microsoft Windows 计算机上的攻击面
- privatezilla:执行 Windows 10 的隐私和安全检查
- DuckSysEye:解决杀毒软件无法查杀的木马或者高级威胁
- PowerHuntShares:PowerHuntShares是一个审计脚本,设计用于盘点、分析和报告Active Directory域上配置的滥用权限
- MenoyGone:通过 DOS 来耗尽 CS 云函数的调用额度
- RmEye:戎码之眼是一个window上的基于att&ck模型的威胁监控工具.有效检测常见的未知威胁与已知威胁.防守方的利剑
- maigret:更具用户名或者 ID 在数千个站点查询(可以用来辅助溯源)
- CVE-2022-39197:CobaltStrike <= 4.7.1 RCE 蓝队反打红队C2的利器!
- cs-discovery:扫描指定目标地址是否存在Cobalt Strike服务
- UsbKeyboardDataHacker:USB键盘流量包取证工具 , 用于恢复用户的击键信息
- shell-analyzer:Java内存马查杀GUI工具,实时动态分析,支持本地和远程查杀
- npscrack:蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用(burp插件)
- BlueTeamToolsV4.3.zip|BlueTeamToolsV0.52.zip
- JSPHunter: 基于污点分析和模拟栈帧技术的JSP Webshell检测基于污点分析和模拟栈帧技术的JSP Webshell检测
- windodws-logs-analysis: windows日志一键分析小工具
- SimpleHoneyPot:面向护网,攻防演练等场景下的小型蜜罐(mysql、mysql、goby、和vpn蜜罐)
- Whoamifuck: 一款由shell编写的检测入侵用户的工具
- EvilPot: 一个专门用于让扫描器产生误报的靶场(蜜罐)
- bypass-BeaconEye:顾名思义,用来 bypass BeaconEye 的方法
- JavaAgentTools:用Java agent实现内存马等功能
- weblogic_memshell:适用于weblogic和Tomcat的无shell的内存马
- MemoryShellLearn:内存马学习以及部分 Demo
- reMemshell:Java Agent内存马
- Memory:内存马注入,内存马检测,filter、listener、servlet
- 钉钉 RCE
- 向日葵 RCE|Sunlogin_RCE-GUI:向日葵漏洞图形化利用工具|sunlogin_exp_for_tututu:基于 nmap的向日葵RCE 扫描工具
- sendMail:批量发送钓鱼邮件
- CVE-2022-30190-follina-Office-MSDT-Fixed:CVE-2022-30190-follina.py-修改版,可以自定义word模板,方便实战中钓鱼使用
- ysoserial:魔改版 ysoserial ,支持基础链版本的覆盖、利用链的扩充和丰富、利用方式的填充、利用链探测、内存马、防御绕过、MSF/CS 上线等,总之,卷王出品,强的离谱
- 探寻Tomcat文件上传流量层面绕waf新姿势
- SharpXDecrypt:Xshell全版本密码恢复工具
- veinmind-tools:容器安全工具集
- Plog:仅用于提取登录密码的 Mimikatz(免杀大多数 AV)
ShellcodeLoader:绕过防病毒软件的Shellocde加载器-release投毒,攻击红队,源码无毒- iisScaner:多线程批量检测IIS短文件名漏洞+漏洞利用
- AKtools-Java版的aliyun-accesskey-Tools|aliyun-accesskey-Tools-此工具用于查询ALIYUN_ACCESSKEY的主机,并且远程执行命令|alicloud-tools:阿里云ECS、策略组辅助小工具
- dismember:扫描内存里敏感内容,其实就是类似 OD的内存字符串搜索
- ByPassBehinder4J:冰蝎Java WebShell免杀生成
- wsMemShell:一种全新的内存马
- oss-browser:OSS Browser 提供类似windows资源管理器功能。用户可以很方便的浏览文件,上传下载文件,支持断点续传等
- Remote_ShellcodeLoader:远程shellcode加载&权限维持+小功能
- BrowserGhost-一个抓取浏览器密码的工具,后续会添加更多功能
- GoSmbExec:横向移动工具SMBExec的 golang 版本实现
- Malleable-C2-Randomizer:随机生成 cobaltstrike 的C2配置文件,以降低被标记和发现的概率
- JNDI-Inject-Exploit:解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用,探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入(支持JNDI注入高版本JDK Bypass命令回显、内存马注入)
- sRDI:反射 DLL 注入的 Shellcode 实现,将 DLL 转换为与位置无关的 shellcode
- ShiroScan-Shiro<=1.2.4反序列化,一键检测工具|Apache shiro <= 1.2.4 rememberMe 反序列化漏洞利用工具|ShiroScan-Shiro RememberMe 1.2.4 反序列化漏洞图形化检测工具(Shiro-550)|shiro_attack-shiro反序列化漏洞综合利用,包含(回显执行命令/注入内存马,支持shiro > 1.4.2 )-shiro_attack_1.5.zip下载|又一个Shiro反序列化利用工具
- cs2modrewrite:将 Cobalt Strike 配置文件转换为 modrewrite 脚本
- ones:可用于多个网络资产测绘引擎 API 的命令行查询工具
- GetOut360:管理员权限下强制关闭360
- shellcode:免杀 shellcode
- exe2shellcode:远程下载并在内存中执行 shellcode 的框架
- fscan-Intranet:fscan的内网修改版
- sshdHooker:注入SSHD进程并记录ssh登录的密码
- go-cdn2proxy:使用 websocket 通过 CDN 代理您的 C2 流量
- crayfish:更优美、更快速、更全面的渗透测试信息收集工具【闭源】
- Linux提权辅助检测Perl脚本|Linux提权辅助检测bash脚本
- attackRmi:使用socket直接发送数据包来攻击rmi
- csharp-ShellcodeLoader:基于csharp实现的免杀shellcode加载器
- gost:GO语言实现的安全隧道
- addMemShellsJSP:通过jsp注入valve内存马,可以忽略框架影响,通用tomcat789
- GarBageTools-public:支持致远、蓝凌、万户、帆软报表、fastjson、el表达式shell等功能的漏洞利用工具
- NoNetCmdEcho-FileW.e:应对渗透中极限环境下命令回显 & 文件落地
- goblin:一款适用于红蓝对抗中的仿真钓鱼系统
- EasyFish:参考Gophish框架,重构的轻量级钓鱼追踪工具
- winlog:一款基于go的windows信息收集工具,主要收集目标机器rdp端口、mstsc远程连接记录、mstsc密码和安全事件中4624、4625登录事件记录(其实也可以用于蓝队)
- sshpam:记录ssh或sudo明文密码
- JSBypassAV:适用于 CS 下生成 jsbypass
- msmap:内存webshell 生成工具
- rproxy:自动化的代理服务器
- TamperingSyscalls:绕过 EDR 的系统调用达到免杀
- ReturnGate:绕过 EDR 获取 sysid 来达到免杀
- HostCollision:用于host碰撞而生的小工具,专门检测渗透中需要绑定hosts才能访问的主机或内部系统
- Armor:浏览器反蜜罐插件
- Forest:基于frp(0.44.0)二次开发,删除不必要功能,加密配置文件,修改流量以及文件特征
- AceLdr:Cobalt Strike UDRL 用于内存扫描bypass
- 利用 PHP-FPM 做内存马的方法|备份
- mscan:一款域渗透扫描工具,方便一键自动化、全方位的信息收集及扫描域提权漏洞
- Elevator:UAC Bypass by abusing RPC and debug objects.
- GetMail:利用NTLM Hash读取Exchange邮件
- hoaxshell:一款功能强大的非传统Windows反向Shell
- RedisWriteFile-通过
Redis主从写出无损文件,可用于Windows平台下写出无损的EXE、DLL、LNK和Linux下的OS等二进制文件 - SharpHostInfo:一款快速探测内网主机信息工具
- iscsicpl_bypassUAC无弹窗版
- DumpThatLSASS:又一款bypass AV dump工具|CallBackDump:能过卡巴、核晶、defender等杀软的dump lsass进程工具
- FastjsonScan:Fastjson扫描器,可识别版本、依赖库、autoType状态等
- Bof2PIC:BOF/COFF obj file to PIC(shellcode)
- AsmShellcodeLoader:汇编语言编写Shellcode加载器源代码
- ShellCode_Loader:Msf&CobaltStrike免杀ShellCode加载器
- log4j_detect:类似于所谓的rasp的通过java native agent检测log4j的漏洞利用检测工具
- srdi-rs:Rusty Shellcode 反射 DLL 注入
- KnownDllUnhook:将当前加载的模块的 .txt 部分从 \KnownDlls\ 替换来绕过 edr
- SharpToken:.NET版本的incognito,具有以下功能:枚举Token、从指定进程枚举Token、获得交互式shell、获取命令执行结果(webshell下执行)
- CLR-RWX:Load CLR to get RWX 通过加载clr在自身内存中产生rwx空间
- VcenterKiller:一款针对Vcenter的综合利用工具,包含目前最主流的CVE-2021-21972、CVE-2021-21985以及CVE-2021-22005,提供一键上传webshell,命令执行或者上传公钥使用SSH连接
- Freeze:使用多种技术绕过 EDR类产品加载 shellcode
- SharpADUserIP:提取DC日志,快速获取域用户对应IP地址
- CreateUser:绕过360,火绒添加用户
- SharpUserIP:在域控或远程提取登录日志,快速获取域用户对应的IP地址
- geacon_pro:跨平台重构了Cobaltstrike Beacon,适配了大部分Beacon的功能,行为对国内主流杀软免杀,支持4.1以上的版本
- go_proxy_pool:无环境依赖开箱即用的代理IP池
- glider:支持聚合多种协议的代理转发,比如常见的http、socks4/5/4a、ss、Trojan、Trojanc、VLESS、VMess、SSR、SSH、KCP、Websocket等协议,可以将多个机场的代理聚合做成代理池
- YongyouNC-Unserialize-Tools:用友NC反序列化漏洞payload生成
- SchTask_0x727:创建隐藏计划任务,权限维持,Bypass AV
- SharpNTLMSSPExtract:利用 NTLMSSP 探测 Windows 信息
- ShiroKeyCheck:gol编写的Shiro key检测爆破工具
- FilelessPELoader: 在内存中加载远程AES加密过的PE文件并解密运行
- Webshell_Generate:用于生成各类免杀webshell
- seeyonExp:致远命令执行漏洞系列的GUI利用工具
- APIKiller:API漏洞扫描、检测工具
- IIS_Backdoor_Dll:精简版IIS-Backdoor
- suo5:一款高性能 HTTP 代理隧道工具
- SmallProxyPool:一个免费高质量的小代理池(从fofa搜索开放socks5代理)
- rabbithole: 一个完全使用Rust编写的代理池工具,从网络搜索socks5代理,检测可用性之后开启socks5代理服务
- wmiexec-Pro: 新一代的wmiexec.py
- nanodump: LSASS转储的瑞士军刀
- GoLangPhant0m: 杀win 日志
- feroxbuster: 一个用Rust编写的快速、简单、递归的目录扫描工具
- yetAnotherObfuscator: 绕过Windows Defender的C#混淆器
- SharpExchangeKing: Exchange 服务器安全性的辅助测试工具
- HardHatC2: 一个C#命令和控制框架
- Supershell: Supershell C2 远控平台,基于反向SSH隧道获取完全交互式Shell
- superman:杀死受防病毒保护的进程工具|备份下载
- Struts2VulsScanTools:Struts2全版本漏洞检测工具 19.21|备份
jvm-http-proxy-agent:一个 JVM 代理,它为所有主要的 JVM HTTP 客户端自动强制代理 HTTP(S) 连接并信任 MitM 证书
CppWeixinHunter:微信内存信息提取 c++实现。可获取自己电脑上已登录微信的微信号,wxid,手机号,sqlite解密密钥。