1、Sqlmap——运行需要python2或python3环境,支持在windows/linux操作系统下运行。是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。
2、Burp Suite——运行需要JAVA环境,是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。常用的功能模块:
Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。
Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。
Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具。
Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具(常用base64解码)。
3、nmap(kali系统自带)——一个 络连接端扫描软件,用来扫描 络靶机上开放的端口。确定哪些服务在运行,并且推断计算机运行哪个操作系统。它是 络管理员必用的软件之一,以及用以评估 络系统安全。nmap [ip地址|域名]
4、Wireshark——是使用最广泛的一款,常用来检测 络问题、攻击溯源、或者分析底层通信机制。CTF常用功能:
分析-追踪流、TCP、HTTP。
统计-会话、端点、协议分析。
文件-导出对象、导出分组解释结果。
应用显示过滤器,筛选IP、协议、端口等。
5、dirsearch——基于python环境。常用于暴力扫描页面结构,包括 页中的目录和文件。使用kali安装sudo apt-get Install dirsearch
简单用法:
python3 dirsearch.py -u https://target
python3 dirsearch.py -e php,html,js -u https://target
python3 dirsearch.py -e php,html,js -u https://target -w /path/to/wordlist
6、D盾——测试版在widnows下运行,目前最为流行和好用的web查杀工具,同时使用也简单方便。D盾的功能比较强大, CTF中常用来进行查找webshell文件。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!