ActiveMQ RCE (CVE-2023-46604) 回显利用工具

A list for Web Security and Code Audit

收集整理漏洞EXP/POC,大部分漏洞来源网络，目前收集整理了1300多个poc/exp，长期更新。

A fast, simple, recursive content discovery tool written in Rust.

一个Go版(更强大)的TideFinger指纹识别工具，可对web和主机指纹进行识别探测，整合梳理互联网指纹2.3W余条，在效率和指纹覆盖面方面进行了平衡和优化。

整理了基于Go的16种API免杀测试、8种加密测试、反沙盒测试、编译混淆、加壳、资源修改等免杀技术，并搜集汇总了一些资料和工具。

HVNC for Cobalt Strike

这是一个面向中文社区，分析市面上智能合约应用的架构与实现的仓库。

New generation of wmiexec.py

dubbo快速利用exp，基本上老版本覆盖100%。

去中心化远程控制工具（Decentralized Remote Administration Tool），通过ENS实现了配置文件分发的去中心化，通过Telegram实现了服务端的去中心化

Nuclei is a fast, customizable vulnerability scanner powered by the global security community and built on a simple YAML-based DSL, enabling collaboration to tackle trending vulnerabilities on the …

面向红队的, 高度可控可拓展的自动化引擎

基于C#实现的获取微信数据库密钥的小工具

基于Java实现的图形化微信聊天记录解密查看器

微信客户端取证，可获取用户个人信息(昵称/账号/手机/邮箱/数据库密钥(用来解密聊天记录))；支持获取多用户信息，不定期更新新版本偏移，目前支持所有新版本、正式版本

StandIn is a small .NET35/45 AD post-exploitation toolkit

dotnet 反序列化学习笔记

Just another Powerview alternative

一个利用ASM对字节码进行污点传播分析的静态代码审计应用（添加了大量代码注释，适合大家进行源码学习）。也加入了挖掘Fastjson反序列化gadget chains和SQLInject（JdbcTemplate、MyBatis、JPA、Hibernate、原生jdbc等）静态检测功能。并且加入了很多功能以方便进行漏洞自动化挖掘。

WebSocket 内存马/Webshell，一种新型内存马/WebShell技术

Proxylogon & Proxyshell & Proxyoracle & Proxytoken & All exchange server history vulns summarization :)

A proof of concept exploit for CVE-2022-40684 affecting Fortinet FortiOS, FortiProxy, and FortiSwitchManager

Find specific users in active directory via their username and logon IP address

星球伴侣（无限下载版） - 知识星球助手

Weblogic漏洞利用图形化工具 支持注入内存马、一键上传webshell、命令执行

Active Directory certificate abuse.

A simple POC that abuses Backup Operator privileges to remote dump SAM, SYSTEM, and SECURITY

利用任意文件下载漏洞循环下载反编译 Class 文件获得网站 Java 源代码