【申明】：

以下所有的工具和资源不得用于非法途径，博主本着学习研究的目的整理发布；

继续浏览下面的内容即表示你已近同意且自愿承担所有的可能引发的责任。

如不同意，请你离开本页，关闭网页。

【第一种-hosts修改工具】

直接改hosts文件就能查资料，比代理vpn好用。

功能：自动修改你的HOST，可以上谷歌等网站 ，省去找代理的麻烦

功能介绍

备份/恢复 系统 hosts 文件
一键式安装 hosts 文件
IPv4 / IPv6 网络
数据包在线更新
功能自定义
国际化语言支持

操作系统支持

Microsoft Windows XP(x64)
Microsoft Windows Vista(x64)
Microsoft Windows 7(x64)
Microsoft Windows 8(x64)
Microsoft Windows Server 2008 R2(x64)
Microsoft Windows Server 2012(x64)


建议切换SOURCEFORGE这个服务器 google连接不上 然后点击下备份 直接下载

等弄好了 点击小齿轮 一切OK了

【第二种-GoAgent代理】

首先使用 gogo234.exe 筛选可用IP，方法如下：

打开Agent文件夹，双击运行里面的GoGo234.exe，圆形蓝色图标那个就是，双击后会打开软件窗口（如下图） 【如果没有打开下图的软件窗口，而是提示“应用程序正常初始化失败”等错误，说明你系统需要安装Microsoft .NET Framework 4.0的环境支持（这个是必须有的），.NET Frameworks 4.0下载地址： http://www.microsoft.com/zh-cn/download/details.aspx?id=17718

众所周知，腾讯业务调整，目前通过QQ面板的超级QQ点击进去后会告诉你不能开通超级QQ如下图所示：

但是呢，不知道腾讯是有意还是无意的，手机版可是可以开通的，如图：

地址：请戳我  或者是点击我  即可进行开通超级QQ了。开通后就可以升级成超级会员了，当然你可以选择刷超级QQ！-_- |

WAMP安装好后，mysql密码是为空的，一开始我没注意，刚刚安装一个程序，提示需要数据库密码，我这没有密码啊，就不能进行下一步了，于是Google搜索之。再次小计一下，以备不时之需，同时也希望能够帮助到不知道的朋友。

那么要如何修改呢？其实很简单，通过几条指令就行了，下面我就一步步来操作。

首先，通过WAMP打开mysql控制台。

提示输入密码，因为现在是空，所以直接按回车。

然后输入“use mysql”，意思是使用mysql这个数据库，提示“Database changed”就行。

然后输入要修改的密码的sql语句“update user set password=PASSWORD('root') where user='root';”，注意，sql语句结尾的分号不能少，提示什么什么OK就行了。

最后输入“flush privileges;”，不输入这个的话，修改密码的操作不会生效的。

然后输入“quit”退出。

另外，很多人说通过phpmyadmin直接修改mysql表里的密码就行，原理上应该是没错，但是我发现修改后mysql整个库都不见了，害的我重装了WAMP，最终还是通过命令行去修改的。

修改了密码后，记得修改phpmyadmin的配置文件的密码为root（你修改的密码）： 你的盘符\apps\phpmyadmin4.1.14\config.inc.php  不然你会打不开phpmyadmin的！

Netsparker是一款综合型的web应用安全漏洞扫描工具，它分为专业版和免费版，免费版的功能也比较强大。Netsparker与其他综合性的 web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。

update：2019/11/19：
Netsparker v4.0.1.0 Edition破解版下载地址：链接:https://pan.baidu.com/s/1IQcji9OS3eaiKj-adSI_7g 提取码:mrxn 
Netsparker v5.2.rar 下载链接: https://pan.baidu.com/s/1r2jRgpDljBiuVpW6KYoMmw 提取码: mrxn
Netsparker Professional Edition v5.3.0.23162 下载链接: https://pan.baidu.com/s/1_Qh03BTEMf3ciUh0dqPVvw 提取码: mrxn 

注：需要.net framework 2.0+ 环境支持 ，自行百度下载。cracked By吾爱破解 ID Lkou[LCG]

安装步骤：下载解压后，直接安装，安装完毕后，切记，不要打开软件，将crack文件夹里面的两个文件复制到你安装的目录覆盖，然后在打开桌面，就可以正常使用了。

如还有不会的，请留言或者是评论，我会尽量帮你解决的。欢迎转载，请注明地址：Mrxn's Blog  https://mrxn.net

什么是Psiphon 3？

Psiphon 3是一个从赛风公司的新查资料工具，利用VPN, SSH和HTTP代理软件提供未经审查的访问互联网。Psiphon 3客户端将自动学习新的进入点，以最大绕过网络审查的机会。

Psiphon 3旨在为您提供开放访问在线内容。Psiphon不会增加您的在线隐私权，并不应被用作在线安全工具。

 电脑版的需要浏览器配合插件 ,以火狐来说,下载安装 FoxyPoxy 然后,选择新建代理服务器,填写本地 localhost http端口 5300  sockets端口 5299  

我如何获得Psiphon 3?

点击链接以下载客户端程序 Windows XP, Vista, 7, and 8 (desktop)或Android 2.2+.

Psiphon 3客户端为iOS和Mac OS X即将推出。

直接下载地址:https://s3.amazonaws.com/0ubz-2q11-gi9y/psiphon3.exe

我Psiphon 3的Windows可信吗？

Psiphon 3的Windows从来没有分发作为安装的软件包。每个Psiphon 3的Windows客户端是一个单一的可执行文件(".exe")，那是数字签名的Psiphon Inc。当您运行客户端时，Windows会自动检查此签名。您也可以手动检查签名在运行客户端之前通过打开文件的属性对话框中，和检查数字签名选项卡。

手机版使用截图如下:

手机版下载地址: http://www.psiphon3.net/zh/index.html

或者是发邮件:

[email protected]

安卓直接下载:https://s3.amazonaws.com/0ubz-2q11-gi9y/PsiphonAndroid.apkhttps://s3.amazonaws.com/psiphon/web/933l-t769-1gjl/PsiphonAndroid.apk


Windows直接下载: https://s3.amazonaws.com/psiphon/web/933l-t769-1gjl/psiphon3.exe

苹果应用商店中的iOS版赛风:https://itunes.apple.com/us/app/psiphon/id1276263909?ls=1&mt=8
您iPhone或iPad上的所有应用程序都将通过赛风网络访问互联网。适用于iOS 10.2及更高版本。

安卓,苹果,Mac,Windows 三平台支持的，免费加速器下载 2020最新可用 下载链接：点击下载

测试环境：

操作系统： Windows 8.1

运行时： .Net Framework 4.5

PHP+MySQL+Apache 集成测试环境： wamp_serverx64

首先，从 http://www.dvwa.co.uk/ 下载 DVWA1.0.8，并将文件释放到 F:\Web\DVWA-1.0.8 (因为我的wamp自己设置的默认目录是 F:\Web,至于方法,请移步:自定义wamp_server的网站根目录)

修改配置文件 config\config.inc.php ， 设置数据库连接账号及默认的安全级别：
$_DVWA[ 'db_server' ] = 'localhost';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = root;
$_DVWA['default_security_level'] = "low";
然后，访问 http://localhost/DVWA-1.0.8/login.php

第一关，就是考虑如何登录进去。

这里，我们计划采取挂字典进行暴力登录尝试，这类工具称之为 Bruter，下面以 WebCruiser
Web Vulnerability Scanner V3.5.3 (http://sec4app.com )为例,我博客已发布最新破解版。
首先，随便输入一个错误的用户名和密码，这里输入 admin 和 admin　：

提交后， 切换到 Resend（重放）界面：

最新的请求在最上面，点击它，可以在右边看到详细信息。点击“ Bruter”按钮：

软件自动切换到 Bruter 界面，并且自动发现 username 和 password 字段（如果使用了特殊的参数名，则手工从下拉列表中选中它）。 Bruter 提供了两种字典方式，一种是用户名和密码使用不同的字典(需要自己去选择字典的位置)，另一种是使用网络已泄漏的（用户名 :密码）组合。点击”Go”按钮， 启动猜解：

可以看到，可以登录的用户名和密码已经猜解出来了,为 admin/password 。切换到 WebBrowser 界面，输入猜解出来的用户名和密码，即可登录成功。

登录之后，切换到 DVWA Security 设置页，检查一下安全级别是否为低（ low），如果不是，修改为 low，这样 DVWA 系统就是含有漏洞的版本了。开始 DVWA 登录后的测试工作了：

登录之后，里面还有一个 Brute Force 的测试项，继续采用刚才的方式，随便输入用户名和密码提交，并在 Resend 界面找到该请求,并且继续做刚刚登陆的时候一样的步骤,结果如下：

由图可知.这个测试项也使用了 admin/password 这组账号。

太晚了,今天就到这里吧,明天继续后面的几个操作演示,欢迎转载,转载请注明:Mrxn's Blog  https://mrxn.net 

Web安全扫描工具WebCruiser - Web Vulnerability Scanner

运行平台：Windows with .Net FrameWork 2.0或以上

界面语言：英文版

功能简介

* 网站爬虫（目录及文件）；

* 漏洞扫描（SQL注入，跨站脚本，XPath注入）；

* 漏洞验证（SQL注入，跨站脚本，XPath注入）；

* SQL Server明文/字段回显/盲注；

* MySQL字段回显/盲注；

* Oracle字段回显/盲注；

* DB2字段回显/盲注；

* Access字段回显/盲注；

* 管理入口查找；

* GET/Post/Cookie 注入；

* 搜索型注入延时；

* 自动从自带浏览器获取Cookie进行认证；

* 自动判断数据库类型；

* 自动获取关键词；

* 多线程；

* 高级：代理、敏感词替换/过滤;

* 报告；

与其他的Web安全扫描软件相比较有以下特点:

Web漏洞扫描器是webcruiser Web漏洞

扫描仪主要集中在高风险漏洞，并webcruiser可以

扫描指定的漏洞类型，或指定的URL，或

指定独立页面，而别的工具通常不能.

注册码:  

[email protected]

下载地址:链接：http://pan.baidu.com/s/1sjNsnG5 密码：nrvb

官方下载:http://www.janusec.com/downloads/

什么是XAMPP？

XAMPP是最流行的PHP开发环境

XAMPP是完全免费且易于安装的Apache发行版，其中包含MySQL、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易。

同时也是跨平台的,支持Windows,apple OS ,Linux三大平台.

v5.5.24/ v5.6.8 升级说明

更新PHP至5.5.24/5.6.8
最新的MySQL5.6.24到
更新的phpMyAdmin4.4.3
更新的OpenSSL到1.0.1m（OS X和Linux）
更新XAMPP欢迎页面（测试版）
修复字符集管理页面
新增OS X操作指南
PostgreSQL的PHP扩展启用SSL支持
新增PHP XMLRPC扩展
新增PHP扩展MSSQL

官方下载址:https://www.apachefriends.org/zh_cn/download.html

Mrxn提示:本文中的工具只用于学习测试使用,禁止用于非法途径.

Acunetix.Web.Vulnerability.Scanner.v9.5 破解版

====================================================================



软件名称：web.vulnerability.scanner

版本：9.5.2015.19-02零售

释放型：顾问版

最后更新：二月19 2015上午10:38

操作系统：所有Windows系统

开发商：Acunetix

主页：http://www.acunetix.com/

作者不负责该产品的不良使用。

这只是作为学习和研究的目的。

如果你喜欢这个程序，请支持开发商和购买它！！

步骤：

------

1）解压rar文件。

2）安装应用程序

3）替换换crack文件夹里面的东西文件到安装文件目录。

4）打开软件,输入任何注册码,例如9999-9999-9999-9999和任何名字，公司等。

解压缩,直接安装就后,请替换crack文件夹里面的文件到wvs的安装目录,然后随便输入注册码,公司,姓名等信息,OK:

软件更新地址: Mrxn's Blog----https://mrxn.net  解压密码就是博客域名(加上www)

下载地址： 链接: http://pan.baidu.com/s/1sjOEe0P 密码: 6fpy  

渗透测试阿克西

一组很棒的渗透测试资源，包括工具、书籍、会议、杂志和其他的东西

• 目录：

• 在线资源

• 渗透测试资源

• Shell 脚本资源

• Linux 资源

• Shellcode 开发

• Social社工资源

• 开锁资源

• 工具

• 渗透测试系统版本

• 渗透测试基础工具

• 漏洞扫描器

• 网络工具

• Hex编辑器

• 破解

• Windows程序

• DDoS 工具

• 社工工具

• 藏形工具

• 逆向工具

• 书籍

• 渗透测试书籍

• 黑客手册系列

• 网络分析书籍

• 逆向工程书籍

• 恶意程序分析书籍

• Windows书籍

• 社工书籍

• 开锁书籍

• 漏洞库

• 安全教程

• 信息安全会议

• 信息安全杂志

• 其他

• 总结

在线资源

渗透测试资源

• Metasploit Unleashed - 免费的metasploit教程

• PTES - 渗透测试执行标准

• OWASP - 开放式Web应用程序安全项目

• OSSTMM - 开源安全测试方法手册

Shell 脚本资源

• LSST - linux shell脚本教程

Linux 资源

• Kernelnewbies - 一个出色的Linux内核资源的社区

Shellcode 开发

• Shellcode Tutorials - 如何编写shellcode的教程

• Shellcode examples - Shellcodes 的库

社工资源

• Social Engineering Framework - 一些社工的资源

开锁资源

• Schuyler Towne channel - 开锁视频和安全沙龙

工具

渗透测试系统版本

• Kali - 一个Linux发行版，用来做数字取证和渗透测试。

• NST - 网络安全工具包发行版

• Pentoo - 着眼于安全的基于Gentoo的 LiveCD

• BackBox - 基于Ubuntu的发行版，用于渗透测试及安全评估

渗透测试基础工具

• Metasploit - 应用最广的渗透测试软件

• Burp - 抓包工具，针对Web应用执行安全检测

漏洞扫描器

• Netsparker - Web应用安全扫描器

• Nexpose - 漏洞管理&风险控制软件

• Nessus - 漏洞，配置，和合规检测

• Nikto - Web应用的漏洞扫描

• OpenVAS - 开源漏洞扫描器

• OWASP Zed Attack Proxy - web应用的渗透测试工具

• w3af - Web应用工具和审计框架

• Wapiti - Web应用漏洞

网络工具

• nmap - 免费的安全扫描器，用于网络勘测和安全审计

• tcpdump/libpcap - 一种常见的命令行数据包分析工具

• Wireshark - 一个Unix和Windows系统的传输协议分析工具

• Network Tools - 信息收集: ping, lookup, whois, 等等

• netsniff-ng - 网络嗅探利器

• Intercepter-NG - 多功能网络工具包

SSL 分析工具

• SSLyze - SSL 配置扫描器

Hex 编辑器

• HexEdit.js - 基于浏览器的hex编辑器

解密工具

• John the Ripper - 快速破解密码

• Online MD5 cracker - 在线MD5破解

Windows 程序

• Sysinternals Suite - Sysinternals故障诊断小工具

• Windows Credentials Editor -  集成了列举、添加、更改、删除身份验证的功能的安全工具

DDoS 工具

• LOIC -  Windows下的一款开源网络压力测试工具

• JS LOIC - 没用过，不解释

社工工具

• SET - 来自TrustedSec的社工工具箱

藏匿工具 

• Tor - 使onion routing藏形匿迹的免费软件

• I2P - 开源匿名网络工具

逆向工具

• IDA Pro - Windows、Linux 、Mac OS X反汇编和调试器

• WDK/WinDbg - Windows下的内核态调试工具

• OllyDbg - x86调试器，主要做二进制代码分析

书籍

渗透测试书籍

• The Art of Exploitation by Jon Erickson, 2008

• Metasploit: The Penetration Tester's Guide by David Kennedy and others, 2011

• Penetration Testing: A Hands-On Introduction to Hacking by Georgia Weidman, 2014

• Rtfm: Red Team Field Manual by Ben Clark, 2014

• The Hacker Playbook by Peter Kim, 2014

• The Basics of Hacking and Penetration Testing by Patrick Engebretson, 2013

• Professional Penetration Testing by Thomas Wilhelm, 2013

• Advanced Penetration Testing for Highly-Secured Environments by Lee Allen,2012

• Violent Python by TJ O'Connor, 2012

• Fuzzing: Brute Force Vulnerability Discovery by Michael Sutton, Adam Greene, Pedram Amini, 2007

黑客手册系列

• The Shellcoders Handbook by Chris Anley and others, 2007

• The Web Application Hackers Handbook by D. Stuttard, M. Pinto, 2011

• iOS Hackers Handbook by Charlie Miller and others, 2012

• Android Hackers Handbook by Joshua J. Drake and others, 2014

• The Browser Hackers Handbook by Wade Alcorn and others, 2014

网络分析书籍

• Nmap Network Scanning by Gordon Fyodor Lyon, 2009

• Practical Packet Analysis by Chris Sanders, 2011

• Wireshark Network Analysis by by Laura Chappell, Gerald Combs, 2012

逆向工程书籍

• Reverse Engineering for Beginners by Dennis Yurichev (free!)

• The IDA Pro Book by Chris Eagle, 2011

• Practical Reverse Engineering by Bruce Dang and others, 2014

• Reverse Engineering for Beginners

恶意程序分析书籍

• Practical Malware Analysis by Michael Sikorski, Andrew Honig, 2012

• The Art of Memory Forensics by Michael Hale Ligh and others, 2014

Windows书籍

• Windows Internals by Mark Russinovich, David Solomon, Alex Ionescu

社会工程学书籍

• The Art of Deception by Kevin D. Mitnick, William L. Simon, 2002

• The Art of Intrusion by Kevin D. Mitnick, William L. Simon, 2005

• Ghost in the Wires by Kevin D. Mitnick, William L. Simon, 2011

• No Tech Hacking by Johnny Long, Jack Wiles, 2008

• Social Engineering: The Art of Human Hacking by Christopher Hadnagy, 2010

• Unmasking the Social Engineer: The Human Element of Security by Christopher Hadnagy, 2014

开锁书籍

• Practical Lock Picking by Deviant Ollam, 2012

• Keys to the Kingdom by Deviant Ollam, 2012

漏洞库

• NVD - 美国国家漏洞库

• CERT - 美国国家应急响应中心

• OSVDB - 开源漏洞库

• Bugtraq - 赛门铁克

• Exploit-DB - exp的库

• Fulldisclosure - Fulldisclosure邮件列表

• MS Bulletin - 微软安全公告

• MS Advisory - 微软安全报告

• Inj3ct0r - Inj3ct0r Exp的库

• Packet Storm - Packet Storm全球安全资源

• SecuriTeam - Securiteam 漏洞库

• CXSecurity - CSSecurity Bugtraq列表

• Vulnerability Laboratory - 漏洞研究实验室

• ZDI - 0day库

安全课程

• Offensive Security Training - BackTrack/Kali开发者的培训

• SANS Security Training - 计算机安全培训和认证

• Open Security Training - 计算机安全课程培训资料

• CTF Field Guide - 下一次CTF比赛必学

信息安全会议

• DEF CON - 一年一度的在拉斯维加斯举行的黑客会议

• Black Hat - 一年一度的在拉斯维加斯举行的安全会议

• BSides - 没去过，不解释

• CCC - 德国每年一次的黑客会议

• DerbyCon - 每年一度的黑客会议，根据地在Louisville

• PhreakNIC - 一年一度，美国Tennessee州中部

• ShmooCon - 一年一度美国西部的黑客会议

• CarolinaCon - 北加利福尼亚，一年一度

• HOPE - 黑客杂志2600主办的一系列会议

• SummerCon - 夏天举办的最古老的黑客大会

• Hack.lu - 卢森堡一年一度

• HITB - 在马里西亚和荷兰

• Troopers - 德国海德堡，一年一度

• Hack3rCon - 一年一度的美国黑客大会

• ThotCon - 芝加哥一年一度的美国黑客大会

• LayerOne - 每年春天洛杉矶的黑客大会

• DeepSec - 奥地利维也纳的安全会议

• SkyDogCon - 纳什维尔的安全会议

安全杂志

• 2600: The Hacker Quarterly - 美国的一本关于计算机技术的地下杂志

• Hakin9 - A安全每周更新的在线杂志

其他

• SecTools - 网络安全工具前125

• C/C++ Programming - 开源工具的主要语言之一

• .NET Programming - 一个开发框架

• Shell Scripting - 命令行集成工具包

• Ruby Programming by @dreikanter - 编写exp的实用语言

• Ruby Programming by @markets - 同上

• Ruby Programming by @Sdogruyol - 同上

• JavaScript Programming - 浏览器开发脚本

• Node.js Programming by @sindresorhus - 命令行的js

• Node.js Programming by @vndmtrx - 同上

• Python tools for penetration testers - 很多渗透工具都是用python写的

• Python Programming by @svaksha - 通用python项目

• Python Programming by @vinta - 同上

• Andorid Security - 安卓安全资源聚合

• Awesome Awesomness - 。。。

总结

感谢cctv感谢btv感谢XXTV

本文由 Mrxn's Blog 翻译，转载请注明“转自Mrxn's Blog”，并附上链接。
原文链接：https://github.com/enaqx/awesome-pentest#online-resources