GITHUB工具大全

仅供学习代码使用，务必遵守网络安全法，若用于非法目的于本人无关

漏洞及渗透练习平台：
WebGoat漏洞练习环境
https://github.com/WebGoat/WebGoat
https://github.com/WebGoat/WebGoat-Legacy
• Damn Vulnerable Web Application(漏洞练习平台)
https://github.com/RandomStorm/DVWA
• 数据库注入练习平台
https://github.com/Audi-1/sqli-labs
• 用node编写的漏洞练习平台，like OWASP Node Goat
https://github.com/cr0hn/vulnerable-node
花式扫描器 ：
• 端口扫描器Nmap
https://github.com/nmap/nmap
• 本地网络扫描器
https://github.com/SkyLined/LocalNetworkScanner
• 子域名扫描器
https://github.com/lijiejie/subDomainsBrute
• 漏洞路由扫描器
https://github.com/jh00nbr/Routerhunter-2.0
• 迷你批量信息泄漏扫描脚本
https://github.com/lijiejie/BBScan
• Waf类型检测工具
https://github.com/EnableSecurity/wafw00f
信息搜集工具 :
• 社工插件，可查找以email、phone、username的注册的所有网站账号信息
https://github.com/n0tr00t/Sreg
• Github信息搜集，可实时扫描查询git最新上传有关邮箱账号密码信息
https://github.com/sea-god/gitscan
• github Repo信息搜集工具
https://github.com/metac0rtex/GitHarvester
WEB：
• webshell大合集
https://github.com/tennc/webshell
• 渗透以及web攻击脚本
https://github.com/brianwrf/hackUtils
• web渗透小工具大合集
https://github.com/rootphantomer/hack_tools_for_me
• XSS数据接收平台
https://github.com/firesunCN/BlueLotus_XSSReceiver
• XSS与CSRF工具
https://github.com/evilcos/xssor
• Short for command injection exploiter，web向命令注入检测工具
https://github.com/stasinopoulos/commix
• 数据库注入工具
https://github.com/sqlmapproject/sqlmap
• Web代理，通过加载sqlmap api进行sqli实时检测
https://github.com/zt2/sqli-hunter
• 新版中国菜刀
https://github.com/Chora10/Cknife
• .git泄露利用EXP
https://github.com/lijiejie/GitHack
• 浏览器攻击框架
https://github.com/beefproject/beef
• 自动化绕过WAF脚本
https://github.com/khalilbijjou/WAFNinja
• http命令行客户端，可以从命令行构造发送各种http请求（类似于Curl）
https://github.com/jkbrzt/httpie
• 浏览器调试利器
https://github.com/firebug/firebug
• 一款开源WAF
https://github.com/SpiderLabs/ModSecurity
Windows域渗透工具：
• windows渗透神器
https://github.com/gentilkiwi/mimikatz
• Powershell渗透库合集
https://github.com/PowerShellMafia/PowerSploit
• Powershell tools合集
https://github.com/clymb3r/PowerShell
Fuzz:
• Web向Fuzz工具
https://github.com/xmendez/wfuzz
• HTTP撞库攻击脚本
https://github.com/lijiejie/htpwdScan
漏洞利用及攻击框架：
• msf
https://github.com/rapid7/metasploit-framework
• Poc调用框架，可加载Pocsuite,Tangscan，Beebeeto等
https://github.com/erevus-cn/pocscan
• Pocsuite
https://github.com/knownsec/Pocsuite
• Beebeeto
https://github.com/n0tr00t/Beebeeto-framework
漏洞POC&EXP:
• ExploitDB官方git版本
https://github.com/offensive-security/exploit-database
• php漏洞代码分析
https://github.com/80vul/phpcodz
• Simple test for CVE-2016-2107
https://github.com/FiloSottile/CVE-2016-2107
• CVE-2015-7547 POC
https://github.com/fjserna/CVE-2015-7547
• JAVA反序列化POC生成工具
https://github.com/frohoff/ysoserial
• JAVA反序列化EXP
https://github.com/foxglovesec/JavaUnserializeExploits
• Jenkins CommonCollections EXP
https://github.com/CaledoniaProject/jenkins-cli-exploit
• CVE-2015-2426 EXP (windows内核提权)
https://github.com/vlad902/hacking-team-windows-kernel-lpe
• use docker to show web attack(php本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示)
https://github.com/hxer/vulnapp
• php7缓存覆写漏洞Demo及相关工具
https://github.com/GoSecure/php7-opcache-override
• XcodeGhost木马样本
https://github.com/XcodeGhostSource/XcodeGhost
中间人攻击及钓鱼
• 中间人攻击框架
https://github.com/secretsquirrel/the-backdoor-factory
https://github.com/secretsquirrel/BDFProxy
https://github.com/byt3bl33d3r/MITMf
• Inject code, jam wifi, and spy on wifi users
https://github.com/DanMcInerney/LANs.py
• 可扩展的中间人代理工具
https://github.com/intrepidusgroup/mallory
• wifi钓鱼
https://github.com/sophron/wifiphisher
密码相关：
• 密码工具
https://github.com/shinnok/johnny
• 本地存储的各类密码提取利器
https://github.com/AlessandroZ/LaZagne
二进制及代码分析工具：
• 二进制分析工具
https://github.com/devttys0/binwalk
• 系统扫描器，用于寻找程序和库然后收集他们的依赖关系，链接等信息
https://github.com/quarkslab/binmap
• rp++ is a full-cpp written tool that aims to find ROP sequences in PE/Elf/Mach-O (doesn't support the FAT binaries) x86/x64 binaries.
https://github.com/0vercl0k/rp
• Windows Exploit Development工具
https://github.com/lillypad/badger
• 二进制静态分析工具（python）
https://github.com/bdcht/amoco
• Python Exploit Development Assistance for GDB
https://github.com/longld/peda
• 对BillGates Linux Botnet系木马活动的监控工具
https://github.com/ValdikSS/billgates-botnet-tracker
• 木马配置参数提取工具
https://github.com/kevthehermit/RATDecoders
• Shellphish编写的二进制分析工具（CTF向）
https://github.com/angr/angr
• 针对python的静态代码分析工具
https://github.com/yinwang0/pysonar2
• 一个自动化的脚本（shell）分析工具，用来给出警告和建议
https://github.com/koalaman/shellcheck
• 基于AST变换的简易Javascript反混淆辅助工具
https://github.com/ChiChou/etacsufbo
EXP编写框架及工具：
• 二进制EXP编写工具
https://github.com/t00sh/rop-tool
• CTF Pwn 类题目脚本编写框架
https://github.com/Gallopsled/pwntools
• an easy-to-use io library for pwning development
https://github.com/zTrix/zio
• 跨平台注入工具（ Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.）
https://github.com/frida/frida
隐写：
• 隐写检测工具
https://github.com/abeluck/stegdetect
各类安全资料:
• 域渗透教程
https://github.com/l3m0n/pentest_study
• python security教程（原文链接http://www.primalsecurity.net/tutorials/python-tutorials/）
https://github.com/smartFlash/pySecurity
• data_hacking合集
https://github.com/ClickSecurity/data_hacking
• mobile-security-wiki
https://github.com/exploitprotocol/mobile-security-wiki
• 书籍《reverse-engineering-for-beginners》
https://github.com/veficos/reverse-engineering-for-beginners
• 一些信息安全标准及设备配置
https://github.com/luyg24/IT_security
• APT相关笔记
https://github.com/kbandla/APTnotes
• Kcon资料
https://github.com/knownsec/KCon
• ctf及黑客资源合集
https://github.com/bt3gl/My-Gray-Hacker-Resources
• ctf和安全工具大合集
https://github.com/zardus/ctf-tools
• 《DO NOT FUCK WITH A HACKER》
https://github.com/citypw/DNFWAH
各类CTF资源
• 近年ctf writeup大全
https://github.com/ctfs/write-ups-2016
https://github.com/ctfs/write-ups-2015
https://github.com/ctfs/write-ups-2014
• fbctf竞赛平台Demo
https://github.com/facebook/fbctf
• ctf Resources
https://github.com/ctfs/resources
各类编程资源:
• 大礼包（什么都有）
https://github.com/bayandin/awesome-awesomeness
• bash-handbook
https://github.com/denysdovhan/bash-handbook
• python资源大全
https://github.com/jobbole/awesome-python-cn
• git学习资料
https://github.com/xirong/my-git
• 安卓开源代码解析
https://github.com/android-cn/android-open-project-analysis
• python框架，库，资源大合集
https://github.com/vinta/awesome-python
• JS 正则表达式库（用于简化构造复杂的JS正则表达式）
https://github.com/VerbalExpressions/JSVerbalExpressions
Python：
• python 正则表达式库（用于简化构造复杂的python正则表达式）
https://github.com/VerbalExpressions/PythonVerbalExpressions
• python任务管理以及命令执行库
https://github.com/pyinvoke/invoke
• python exe打包库
https://github.com/pyinstaller/pyinstaller
• py3 爬虫框架
https://github.com/orf/cyborg
• 一个提供底层接口数据包编程和网络协议支持的python库
https://github.com/CoreSecurity/impacket
• python requests 库
https://github.com/kennethreitz/requests
• python 实用工具合集
https://github.com/mahmoud/boltons
• python爬虫系统
https://github.com/binux/pyspider
• ctf向 python工具包
https://github.com/P1kachu/v0lt
漏洞及渗透练习平台：
• https://github.com/710leo/ZVulDrill
Web漏洞演练平台
• https://github.com/cliffe/secgen
Ruby编写的一款工具，生成含漏洞的虚拟机
花式扫描器：
• https://github.com/aboul3la/Sublist3r
子域名爆破扫描器
• https://github.com/TheRook/subbrute
子域名爆破扫描器
• https://github.com/andresriancho/w3af
Web漏洞扫描器
• https://github.com/maurosoria/dirsearch
Web路径扫描器
• https://github.com/shawarkhanethicalhacker/BruteXSS
XSS多功能扫描器
• https://github.com/rbsec/sslscan
SSL类型扫描器
• https://github.com/urbanadventurer/whatweb
网站指纹识别工具，用来检测网站CMS类型，所采用的博客系统类型，JS库，web服务器，甚至版本号，email地址，web框架等
• https://github.com/ciscocsirt/malspider
一款爬虫框架，用来检测网站是否被恶意攻击过
• https://github.com/wpscanteam/wpscan
wordpress漏洞扫描器
• https://github.com/misterch0c/firminator_backend
固件漏洞扫描器
• https://github.com/wilson9x1/fenghuangscanner_v3
常见服务端口弱口令扫描器
• https://github.com/darryllane/Bluto
信息探测及扫描工具（DNS及邮件枚举等）
• https://github.com/sowish/LNScan
内部网络扫描器
• https://github.com/linuz/Sticky-Keys-Slayer
远程桌面登录扫描器
• https://github.com/infosec-au/altdns
子域名字典组合生成及爆破
• https://github.com/SECFORCE/sparta
网络基础设施渗透工具（集成nmap和hydra等）
• https://github.com/SECFORCE/SNMP-Brute
Fast SNMP brute force, enumeration, CISCO config downloader and password cracking script
• https://github.com/sullo/nikto
web server scanner
• https://github.com/code-scan/dzscan
discuz论坛漏洞扫描器
• https://github.com/nanshihui/Scan-T
网络空间指纹扫描器
• https://github.com/ilmila/J2EEScan
J2EE漏洞扫描器burp插件
甲方安全工程师生存指南：
• https://github.com/thomaspatzke/WASE
web索引及日志搜索工具
• https://github.com/Kozea/wdb
一款CS结构的web debuger
• https://github.com/aramosf/recoversqlite/
recover information from deleted registers in sqlite databases.
• https://github.com/epinna/tplmap
自动化的模板注入攻击检测工具
• https://github.com/client9/libinjection
sqli词法解析分析器
• https://github.com/zxsecurity/gpsnitch
gps欺骗检测工具
• https://github.com/biggiesmallsAG/nightHawkResponse
应急处置响应框架
• https://github.com/FallibleInc/security-guide-for-developers
web安全开发指南
• https://github.com/4ido10n/wooyun-drops-all-articles-package
乌云知识库全部文章
• https://github.com/paralax/awesome-honeypots
蜜罐资源合集
• https://github.com/wufeifei/cobra
自动化代码审计工具
• https://github.com/HatBoy/Pcap-Analyzer
python编写的离线网络数据包分析器
• https://github.com/leonteale/pentestpackage
渗透测试常见小工具打包
WEB：
• https://github.com/owtf/wafbypasser
WAF绕过检测工具
• https://github.com/julienbedard/browsersploit
浏览器攻击框架
• https://github.com/guillotines/WebShell
web端webshell管理器
• https://github.com/mgeeky/tomcatWarDeployer
tomcat自动后门部署
Windows域渗透工具：
• https://github.com/enddo/awesome-windows-exploitation
windows漏洞利用相关整理
• https://github.com/putterpanda/mimikittenz
从内存中提取敏感信息的工具
• https://github.com/chango77747/AdEnumerator
• https://github.com/Raikia/CredNinja
• https://github.com/ChrisTruncer/WMIOps
• https://github.com/ChrisTruncer/EyeWitness
• https://github.com/ChrisTruncer/Egress-Assess
fireeye红军渗透工具
各类安全资料：
• https://github.com/phith0n/Mind-Map
安全脑图合集
• https://github.com/SecWiki/sec-chart/tree/294d7c1ff1eba297fa892dda08f3c05e90ed1428
有关信息安全的一些流程图收集
漏洞POC&EXP：
• https://github.com/citronneur/rdp
哈希长度扩展攻击EXP
蜜罐：
• https://github.com/desaster/kippo
SSH Honeypot
• https://github.com/micheloosterhof/cowrie
kippo进阶版
• https://github.com/awhitehatter/mailoney
SMTP honeypot
• https://github.com/mushorg/glastopf
Web Application honeypot
• https://github.com/jordan-wright/elastichoney
数据库蜜罐
• https://github.com/atiger77/Dionaea