源码泄露工具:dirsearch

用法:python dirsearch.py -u url 地址

githack:git 源码泄露的工具(dirsearch 扫 git 泄露可能乱码,githack 不会)

python githack.py url+/.git/

直接在 githack 文件夹里面找到文件。

c-jwt-cracker:(jwt 爆破找到密钥)

快速安装 c-jwt-cracker - litluo - 博客园 (cnblogs.com)

php_mt_seed:(为了找到伪随机数漏洞的种子,用种子可以反推随机的字符串):

PHP 伪随机数漏洞,以及 php_mt_seed 脚本的使用_php 伪随机漏洞 - CSDN 博客

Arjun:一款 http 参数扫描器,主要就是爆破 url 参数的(jinja2 模板注入的参数爆破):
下载源码:看 readme.md 有安装方法,先安装才能用。

https://github.com/s0md3v/Arjun

用法:python3 arjun.py -u https://api.example.com/endpoint --get

fenjing:焚靖是一个针对 CTF 比赛中 Jinja SSTI 绕过 WAF 的全自动脚本,可以自动攻击给定的网站或接口。

下载地址:https://github.com/Marven11/Fenjing

使用说明:https://blog.csdn.net/m0_61155226/article/details/131671131

Edited on

Give me a cup of [coffee]~( ̄▽ ̄)~*

odiws WeChat Pay

WeChat Pay

odiws Alipay

Alipay

odiws PayPal

PayPal