源码泄露工具:dirsearch
用法:python dirsearch.py -u url地址
githack:git源码泄露的工具(dirsearch扫git泄露可能乱码,githack不会)
python githack.py url+/.git/
直接在githack文件夹里面找到文件。
c-jwt-cracker:(jwt爆破找到密钥)
快速安装 c-jwt-cracker - litluo - 博客园 (cnblogs.com)
php_mt_seed:(为了找到伪随机数漏洞的种子,用种子可以反推随机的字符串):
PHP伪随机数漏洞,以及php_mt_seed脚本的使用_php伪随机漏洞-CSDN博客
Arjun:一款http参数扫描器,主要就是爆破url参数的(jinja2模板注入的参数爆破):
下载源码:看readme.md有安装方法,先安装才能用。
https://github.com/s0md3v/Arjun
用法:python3 arjun.py -u https://api.example.com/endpoint –get
fenjing:焚靖是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口。
下载地址:https://github.com/Marven11/Fenjing
使用说明:https://blog.csdn.net/m0_61155226/article/details/131671131