dalfox手册
dalfox介绍 有攻击就有脚本,有脚本就有工具。这是目前为止,我找到的xss里面,一个比较好用的工具了。网络上鼓吹的XSStrike,我个人觉得并不好用。Dalfox是一个强大的开源XSS(跨站脚本)扫描工具,专注于自动化漏洞检测和参数分析 。它的名称中”Dal”是韩语”月亮”的意思,”Fox”代表”XSS查找器”。 dalfox下载安装 如果你不追求最新的改动,直接下载release版本就可以了。 hahwul/dalfox: 🌙🦊 Dalfox is a powerful open-source XSS scanner and utility focused on automation. 在release版本中,根据自己的电脑架构选择对应的版本即可,darwin是macos,amd是大多数笔记本电脑的架构,也就是x64。我个人下载的是release版本中的win_x64,开箱即用(打开是一个exe文件),无需配置环境。 dalfox使用基础选项url:指定URL扫描(这个exe我改名了,原先的太长了) 1dalfox.exe url http://1...
sqlmap手册
sqlmap介绍 在网络安全和CTF比赛中,SQL注入漏洞的检测与利用往往是渗透测试的核心环节之一,而sqlmap正是一款强大且自动化的开源命令行工具,专为检测和利用数据库注入漏洞而设计。它基于自动化SQL注入技术,支持多种数据库类型、攻击载荷、数据导出以及绕过防护机制,帮助安全人员高效发现并验证SQL注入风险。 sqlmap安装安装地址:sqlmapproject/sqlmap: Automatic SQL injection and database takeover tool 下载成功之后,直接使用pip install -r requirements.txt安装所需依赖库即可 sqlmap使用 master目录之下python运行即可 基本选项-u URL:指定目标URL扫描 1python sqlmap.py -u https://1088673a-a4a6-4862-aa94-d5505b4826bf.challenge.ctf.show/api/?id=1&page=1&limit=10 扫描的URL中必须要有可以注入的参数,以我的例...
dirsearch手册
dirsearch介绍 在网络安全和CTF比赛中,目录扫描往往是信息收集阶段的第一步,而dirsearch正是一款高效且轻量级的命令行工具,专为探测网站隐藏目录和文件而设计。它基于字典发起爆破请求,支持多种扫描模式、递归检测、代理配置以及结果过滤。 dirsearch安装安装地址:maurosoria/dirsearch: Web path scanner 下载成功之后,直接使用pip install -r requirements.txt安装所需依赖库即可 dirsearch使用 master目录之下python运行即可 基本选项-u URL:指定目标URL扫描(必填) 1python dirsearch.py -u https://f8980de5-1154-44ff-9a00-42dcadca075a.challenge.ctf.show/select-no-waf-4.php Extensions:代表扫描哪些后缀的文件 Threads:扫描的线程大小,在真实的网站扫描中,线程的大小决定你的ip会不会被waf封禁 wordlist size:扫描字典的...






