-
网络安全与渗透测试工具集合
可能是总结的最全的开源渗透工具! 目录 入门指南 在线靶场 文件上传漏洞靶场 导航 payload 子域名枚举 自动爬虫实现的子域名收集工具 waf开源及规则 web应用扫描工具 webshell检测以及病毒分析 DDos防护 Android系列工具 XSS扫描 代码审计 端口扫描、指纹识别以及中间件扫描 高级持续性威胁(APT)相关工具 工控系统及大型网络相关安全工 模块化扫描、综合扫描器 内网安全渗透测试工具集 企业网络自检 弱口令或信息泄漏扫描 社工库 数据库防火墙 数据库扫描及注入 无线网络渗透审计 物联网设备扫描 针对性漏洞测试工具 LICENSE 入门指南 Web Hacking 101 中文版:https://wizardforcel.gitbooks.io/web-hacking-101/content/ 浅入浅出Android安全 中文版:https://wizardforcel.gitbooks.io/asani/content/ Android 渗透测试学习手册 中文版:https://wizardforcel.gitbooks.io/lpad/content/ Kali Linux Web渗透测试秘籍 中文版:https://wizardforcel.gitbooks.io/kali-linux-web-pentest-cookbook/content/ Linux exploit 开发入门:https://github.com/hardenedlinux/linux-exploit-development-tutorial burpsuite实战指南:https://www.gitbook.com/book/t0data/burpsuite/details 渗透测试Node.js应用:http://www.kanxue.com/?article-read-1108.htm=&winzoom=1 Web安全资料和资源列表:https://github.com/qazbnm456/awesome-web-security 安全维基百科:https://sec-wiki.com/sec-wiki 安全漏洞信息(精):https://ninjia.gitbook.io/secskill/Web 安全学习笔记(精):https://websec.readthedocs.io/zh/latest/ 黑客清单:https://github.com/sunnyelf/awesome-hacking 思维导图: https://github.com/phith0n/Mind-Map 思维导图:https://github.com/SecWiki/sec-chart 渗透超全面的渗透资料 ...
-
IP地址精准查询
很多时候我们需要定位IP所在的物理位置,而这个工具可以直接到你家门口。 当前互联网的基石便是TCP/IP协议,而虚拟中的IP地址和现实中的地址往往难以对应,而这个站点,不但提供了IP地址所在的真实地址位置,还对该IP是否为真人用户使用的做出了猜测和标注,为IP的溯源和价值提供了参考依据。 关于IP定位,最早是通过运营商实现,每个运营商申请到的ip段,在某个范围内使用。因此早期只能是国家为单位的基础数据。对于比较大的国家,就进一步划分,比如,中国某通讯公司(不打广告),固定将某些ip分配某些机房使用,而这些机房则具备地域属性,因此就可以知道某些ip的位置是哪个省市区。再进一步,网上有种测算路由的方式进行定位,就是由大范围逐个跳转,跟踪路由。从而对比找出ip所在的小范围。 如今,网络铺设已经有个相当多的特性,比如: A.国内的某大运营商,ip资源够用,直接给用户分配公网ip。我以前就在这种网络下用动态域名工具玩过网站。 B.部分运营上为了缓解ip资源不足问题,某个大范围使用代理转发方式,给到用户的是私网ip,用户最终用代理的ip池的ip访问公网。 C.电话运营商,ip资源利用率过低,几乎是一个省份用一个ip池进行代理给用户的手机网络上网 随着大数据发展,有些公司做了大数据匿名收集数据,数据实时分析。因此可以将手机收集到的精准GPS数据和当前所用IP数据成对上报给后端服务器,运算过之后,就可以得出某个IP的分布范围数据。 误差说明: 对于上述A的情况,精确度可以达到几十米 对于上述B的情况,可能得覆盖一个城市的范围 对于上述C的情况,往往是一个省份的误差程度 因此,对于有线宽带用户,分配了相对固定的公网IP,用户在这个线路下有放置了wifi无线路由器,wifi下有接入了手机用户,手机里运行了服务,比如地图,或者地图SDK。其定位精度就可以达到几十米范围。对于这种数据,只有bat这种大头才能实现的了这个规模的数据手机,因此准确度几乎无法被超越,更大的互联网公司除外。 关于精准度问题,和其他家相比最大的优势就是钓鱼链接,使用钓鱼链接定位的位置可以直接到你家楼下,精度很高。如果对方刚刚重新获取公网IP,那可能精准度稍差,但这种情况并不是很常见。 钓鱼链接用起来也很简单,通过IM、邮箱等方式发送过去,对方一打开你提供的链接,你就能获取到对方的IP地址,还有相当详细的定位信息。使用生成Key功能,输入一个自己想要使用的Key,然后将生成的链接发送过去,就可以等着查看了。 需要的小伙伴在交流群内回复IP精准查询获取地址 ...
-
请武装您的BURP
+--- books | +--- Burp Suite使用 _ Pa55w0rd 's Blog.pdf | +--- Burp Suite使用中的一些技巧.pdf | +--- burp 日志插件「burplogger++.jar」从原理到实践-信安之路.pdf | +--- BurpSuite 代理设置的小技巧.pdf | +--- burpsuite实战指南.pdf | +--- Configuring Burp Suite with Android Nougat.pdf | +--- IOS之Burpsuite抓Https问题.pdf | +--- nmap-man-page.pdf | +--- Nmap渗透测试思维导图.png | +--- readme.md | +--- 利用Burpsuite爆破Tomcat密码.pdf | +--- 利用burp插件Hackvertor绕过waf并破解XOR加密 - 嘶吼 RoarTalk.pdf | +--- 基于BurpSuite快速探测越权-Authz插件.pdf | +--- 如何在64位Windows 10下安装java开发环境.pdf | +--- 新手福利 _ Burpsuite你可能不知道的技巧.pdf | +--- 本地文件包含漏洞检测工具 – Burp国产插件LFI scanner checks.pdf | +--- 配置Frida+BurpSuite+Genymotion, 绕过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning.pdf +--- BurpSuiteCn.jar +--- Burp_start.bat +--- Burp_start_en.bat +--- cn.txt +--- Create-Desktop-Link.bat +--- GitZip-for-github_v0.3.1.crx +--- img | +--- ANSI.png | +--- crack1.png | +--- crack2.png | +--- crack3.png | +--- crack4.png | +--- crack5.png | +--- crack_ok.png | +--- CRLF_ANSI.png | +--- desktop_shortlink.png | +--- Goescat-Macaron-Burp-suite.ico | +--- hackbar.gif | +--- issues-example.png | +--- issues-example2.png | +--- passive-scan-client-0.1-jar-with-dependencies.gif | +--- ShellPass.png | +--- u2cTab.png | +--- 登上GitHub的trending截图纪念.png +--- Mrxn's Blog.url +--- plugins | +--- awesome-burp-extensions | | +--- README.md | +--- burp-vulners-scanner-1.2.jar | +--- burp-requests.jar | +--- bypasswaf.jar | +--- chunked-coding-converter.0.2.1.jar | +--- domain_hunter-v1.4.jar | +--- HackBar.jar | +--- http-request-smuggler-all.jar | +--- httpsmuggler.jar | +--- J2EEScan-2.0.0-beta-jar-with-dependencies.jar | +--- jsEncrypter.0.3 | | +--- jsEncrypter-0.3.jar | | +--- jsEncrypter_readme.pdf | | +--- nodejs_server.js | | +--- phantomjs_server.js | | +--- README.md | | +--- 对登录中账号密码进行加密之后再传输的爆破的思路和方式 - FreeBuf互联网安全新媒体平台.pdf | | +--- 编写加密传输爆破插件jsEncrypter _ 回忆飘如雪.pdf | +--- knife-v1.7.jar | +--- LFI scanner checks.jar | +--- LoggerPlusPlus.jar | +--- passive-scan-client-0.1-jar-with-dependencies.jar | +--- Readme.md | +--- reCAPTCHA-v0.9.jar | +--- sqlmap.jar | +--- sqlmap4burp++.0.2.jar | +--- WooyunSearch-1.0-SNAPSHOT-jar-with-dependencies.jar | +--- shiroPoc-0.5-SNAPSHOT-jar-with-dependencies.jar +--- README.md +--- 创建桌面快捷方式.bat +--- 创建桌面快捷方式.zip +--- 常见shell大小马密码.md +--- 渗透测试面试问题2019版.md 一些BURP的插件合集 https://github.com/Mr-xn/BurpSuite-collections ...
-
值得珍藏|红队资源
现如今,网络安全是近几年非常火热的一个行业,对于打算从事或入门网络安全不久的朋友来说,一直处于求学无门、无从下手的状态。为此小编将贝塔安全实验室成员分享的一些靶场环境、红队资源等个大家进行了总结,希望大家能好好利用,快速提升自己的技术水平! 01 红队资源 1.红队资料集锦:https://www.lshack.cn/772/2.AD攻击防御:https://github.com/infosecn1nja/AD-Attack-Defense3.优秀红队资源:https://github.com/yeyintminthuhtut/Awesome-Red-Teaming4.零租资料库:https://wiki.0-sec.org/#/md5.Micro8高级攻防:https://github.com/Micropoor/Micro86.红队常用命令:https://github.com/foobarto/redteam-notebook 7.APT笔记:https://github.com/kbandla/APTnotes8.渗透测试笔记:https://github.com/Techlord-RCE/Penetration-Testing9.web渗透笔记:https://github.com/qazbnm456/awesome-web-security 01 蓝队资源 1.蓝队资源集锦:https://github.com/fabacab/awesome-cybersecurity-blueteam2.攻防思维导图:https://github.com/SecWiki/sec-chart3.AWS安全检测:https://github.com/stuhirst/awssecurity/blob/master/arsenal.md4.AWS安全工具:https://github.com/toniblyx/my-arsenal-of-aws-security-tools5.GitHub监控工具:https://github.com/0xbug/Hawkeye6. github信息监测:https://github.com/Hell0W0rld0/Github-Hunter7.服务器安全管理平台:https://github.com/chaitin/cloudwalker8.评估工具:https://github.com/guardicore/monkey9.企业安全管理平台:https://github.com/zhaoweiho/SecurityManageFramwork 01 开源漏洞库 1.乌云漏洞详情文章:https://wooyun.kieran.top2.同程安全公开漏洞:https://sec.ly.com/bugs 3.中国国家工控漏洞库:http://ics.cnvd.org.cn 4.美国国家工控漏洞库:https://ics-cert.us-cert.gov/advisories 5.绿盟漏洞库:http://www.nsfocus.net/index.php?act=sec_bug 6.威努特工控漏洞库:http://ivd.winicssec.com/ 7.CVE中文工控漏洞库:http://cve.scap.org.cn/view/ics 8.美国Offensive Security的漏洞库:https://www.exploit-db.com 9.美国国家信息安全漏洞库:https://nvd.nist.gov/vuln/search 01 练习靶场 1.124个Hacking技术的网站:https://www.blackmoreops.com/2018/11/06/124-legal-hacking-websites-to-practice-and-learn/2.vulnhub: https://www.vulnhub.com3.世界知名ctf交流网站: https://www.wechall.net4.谷歌XSS挑战:https://www.xssgame.com5.在线靶场挑战:https://www.hackthebox.eu6.vulstudy:https://github.com/c0ny1/vulstudy7.多种漏洞复现系统:https://github.com/bkimminich/juice-shop8.sql注入:https://github.com/Audi-1/sqli-labs9.红日靶场:http://vulnstack.qiyuanxuetang.net/vuln/ ...
-
微博热点监控源码,可入库做数据分析。
<?php class Curl { //微博热点监控 public function Get_url_wb($url, $header) { $wburl = "https://s.weibo.com/weibo?q="; // 1. 初始化 curl $ch = curl_init(); // 设置URL和相应的选项 curl_setopt($ch, CURLOPT_URL, $url);//设置目标url curl_setopt($ch, CURLOPT_HEADER, false); //设置header curl_setopt($ch, CURLOPT_HTTPHEADER, $header); curl_setopt($ch, CURLOPT_HEADER, 0);//返回response头部信息 //要求结果为字符串且输出到屏幕上 curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); //规避SSL验证 curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); //跳过HOST验证 curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false); //运行curl $data = curl_exec($ch); curl_close($ch); preg_match_all('/top" target="_blank">(.*?)<\/a>/U', $data, $Hot_search);//热搜名 preg_match_all('/<span>(.*?)<\/span>/U', $data, $Hotspot);//热度 preg_match_all('/href="\/weibo\?q=(.*?)Refer=top/U', $data, $Hoturl);//热度url for ($i = 0; $i < count($Hoturl[1]); $i++) { $Hoturl[1][$i] = $wburl . $Hoturl[1][$i]; } $arr = ["Hot_search" => $Hot_search[1], "Hotspot" => $Hotspot[1], "Hoturl" => $Hoturl[1]]; return json_encode($arr, 448); } } $a = new Curl(); $header = array(); echo $a->Get_url_wb("https://s.weibo.com/top/summary", $header); ...
-
JAVA常见异常类型整理
算数异常类:ArithmeticExecption 空指针异常类型:NullPointerException 类型强制转换类型:ClassCastException 数组负下标异常:NegativeArrayException 数组下标越界异常:ArrayIndexOutOfBoundsException 违背安全原则异常:SecturityException 文件已结束异常:EOFException 文件未找到异常:FileNotFoundException 字符串转换为数字异常:NumberFormatException 操作数据库异常:SQLException 输入输出异常:IOException 方法未找到异常:NoSuchMethodException 下标越界异常:IndexOutOfBoundsExecption 系统异常:SystemException 创建一个大小为负数的数组错误异常:NegativeArraySizeException 数据格式异常:NumberFormatException 安全异常:SecurityException 不支持的操作异常:UnsupportedOperationException ...
-
干货|漏洞利用、实战练习平台、CTF比赛资源库
一、漏洞利用、实战练习平台 1、WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy https://github.com/RandomStorm/DVWA 2、DoraBox,多拉盒 - 掌握常见漏洞攻防 https://github.com/gh0stkey/DoraBox 3、一个功能很全的CTF平台 https://github.com/zjlywjh001/PhrackCTF-Platform-Team 4、针对Pentest或者CTF的一个fuzz payload项目。 https://github.com/zer0yu/Berserker 5、Web安全实战:日安全-Web安全攻防小组关于Web安全的系列文章分享和HTB靶场 https://github.com/hongriSec/Web-Security-Attack 6、upload-labs很全的上传上传漏洞的靶场 https://github.com/c0ny1/upload-labs 7、跟踪真实漏洞相关靶场环境搭建 https://github.com/yaofeifly/Vub_ENV 8、数据库注入练习平台 https://github.com/Audi-1/sqli-labs 9、用node编写的漏洞练习平台,like OWASP Node Goat https://github.com/cr0hn/vulnerable-node 10、基于https://www.exploit-db.com/的漏洞场景还原 https://github.com/havysec/vulnerable-scene 11、Ruby编写的一款工具,生成含漏洞的虚拟机 https://github.com/cliffe/secgen 12、metasploitable3 https://github.com/rapid7/metasploitable3/ 13、pentesterlab渗透测试在线练习 https://pentesterlab.com/exercises/ 14、轻量web漏洞演示平台 https://github.com/stamparm/DSVW 15、docker搭建的漏洞练习环境 https://github.com/MyKings/docker-vulnerability-environment 16、黑客技术训练环境 https://github.com/joe-shenouda/awesome-cyber-skills 17、web及app渗透训练平台 https://github.com/OWASP/SecurityShepherd 18、DevSecOps技能训练营 https://github.com/devsecops/bootcamp 19、injectify 生成一个便捷的高级中间人攻击Web站点 https://github.com/samdenty99/injectify 20、针对ctf线下赛流量抓取(php)、真实环境流量抓取分析的工具 https://github.com/wupco/weblogger 21、permeate:一个用于渗透透测试演练的WEB系统,用于提升寻找网站能力,也可以用于web安全教学 https://github.com/78778443/permeate 二、安全竞赛 (CTF夺标大赛) 1、Google2019CTF web 解题思路 https://xz.aliyun.com/t/5503 2、2018 第一届安洵杯 题目环境/源码 https://github.com/D0g3-Lab/AXB-CTF 3、google-ctf 包括2017和2018全部试题和答案 https://github.com/google/google-ctf/ 4、HCTF2017题目及解析 https://github.com/vidar-team/HCTF2017 5、CTF挑战平台 https://github.com/CTFTraining 6、灰帽子资源集,包括CTF、密码学、Linux攻击、USB攻击、漏洞等 https://github.com/bt3gl/Gray-Hacker-Resources 7、CTF和安全工具大合集 https://github.com/zardus/ctf-tools 8、近年CTF writeup大全 https://github.com/ctfs/write-ups-2016 9、HITB CTF 2017 Pwn题研究 http://0x48.pw/2017/08/29/0x49 10、脸谱CTF竞赛平台Demo https://github.com/facebook/fbctf 11、CTF框架、类库、资源、软件和教程列表 https://github.com/apsdehal/awesome-ctf 12、CTF的题集 https://github.com/Hcamael/CTF_repo 13、CTF资源 https://github.com/ctfs/resources 14、CTF从入门到了解各种工具 https://github.com/SandySekharan/CTF-tool 15、p4团队的CTF解决方案 https://p4.team https://github.com/p4-team/ctf 16、ctftools 在线CTF信息网站,包括资源下载、在线工具、信息blog等 https://www.ctftools.com https://github.com/bollwarm/SecToolSet/blob/master/All.md ...
-
xssfork-新一代xss探测工具
xssfork简介 xssfork作为sicklescan的一个功能模块,其开发主要目的是用于检测xss漏洞。 传统的xss探测工具,一般都是采用 payload in response的方式,即在发送一次带有payload的http请求后,通过检测响应包中payload的完整性来判断,这种方式缺陷,很多。 第一:不能准确地检测dom类xss 第二:用类似于requests之类的库不能真正的模拟浏览器 第三:网页js无法交互 怎么解决?如果能够用浏览器代替这个模块,去自动hook是最好的。所幸,我了解到phantomjs,当然现在google浏览器也支持headless模式,类似的,你也可以采用google浏览器去做检测。 原理 对于这类fuzz过程,基本都是预先准备好一些payload,然后加载执行。对于这类io型密集的扫描模型,后端使用多线程就比较适用,但是由于phantomjs你可以理解为一个无界面的浏览器,在加载的时候,其缺陷也比较明显,比较吃内存,用它来发包自然不像requests库轻量。 基本类型机用法: post类型 python xssfork.py -u “xx” -d “xx” 存储型 python xssfork.py -u “xx” -d “xxx” -D “输出位置” 带cookie python xssfork.py -u “xx” -c “xx” ...
-
网络收集的vps测速整合脚本
使用方法: wget vpstest.cn/it && bash it 或者: wget git.io/vpstest && bash vpstest 或者: wget -O it vpstest.cn && bash it 整合了 1. bench.sh 2. LemonBench 3. superspeed 4. superbench修复版 5. 91yuntest 6. ZBench 7. superbench修复+多节点版 8. UnixBench 9. GeekBench5 10.kos回程测试 11.超内存测试 12.路由测试 (注:脚本收集自互联网) 已修复kos测试 已更新删除残留文件 修复了一些已知bug...
-
闪照引流代码
效果图: 代码: {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[高清福利图] ","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"https:\/\/oss.nmsl.mobi\/Team\/Xml\/4\/0.jpg","mainUrl":"https:\/\/cdn.vip.qq.com\/club\/client\/read\/common\/transfer.html?url=此处加url编码后的群链接"}},"config":{"forward":0,"showSender":1},"text":"","extraApps":[],"sourceAd":""} url编码地址:http://tool.chinaz.com/tools/urlencode.aspx...
-
php代码防止恶意刷新攻击
教程演示 教程简介 一般会有些无聊的用户无意义的频繁刷新或者cc攻击请求都会给服务器加重很多负担 其实 用cookie就可以防止这一点 如果频繁刷新或者cc攻击都会跳转到你设置的那个网址的 例如设置存活5/s 一次 每5秒只可以请求一次 也就是只能刷新一次 如果超过了两次 那么会直接跳转到你设置的网址 代码可以加到你需要防止的文件 疑难问题评论即可 代码如下 <?php error_reporting(0); //if($_COOKIE["ck"])die("刷新过快!"); if($_COOKIE["ck"])header("Location:http://www.dufengvip.cn");//这里如果用户刷新过快,给予终止php脚本或者直接302跳转 setcookie("ck","1",time()+5);//设定cookie存活时间5s echo "hello!"; ?>...
-
安卓一键强制改QQ密保手机
软件介绍 QQ密保手机没用了想改密保可以试试这,不是百分百可以成功。必须是长期登录本手机的QQ才可以大几率成功! 软件截图 加群下载QQ群号:979727860 点击链接加入群聊:https://jq.qq.com/?_wv=1027&k=FDmmUxxL CEKNoNimQH-f1Ra94?imageView/2/w/800" title="安卓一键强制改QQ密保手机" alt="安卓一键强制改QQ密保手机" border="0" width="750px" height="1344px" /> ...
-
XML|利用QQ假红包强制进群免验证
本文是如何实现QQ假红包强制进群类型二 暂未和谐 最新代码 {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[QQ红包]恭喜发财","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"http:\/\/url.cn\/N0VMmw0U","mainUrl":"mqqapi:\/\/forward\/url?url_prefix=这里填写加密后的群通话链接"}},"config":{"forward":1,"showSender":1},"text":"","extraApps":[],"sourceAd":"","extra":""} 1.群聊打开语音通话,随便选几个群好友打电话,然后右上角点击邀请好友 再右上角 分享通话获取QQ群通话链接 (记得用24小时免验证的链接,不然不会强制加群) 2.把复制的通话链接用base64加密,点下面这个网址去进行加密https://base64.us/ 效果图 ...
-
QQxml卡片代码合集
加群获取更多代码QQ群号:979727860 点击链接加入群聊:https://jq.qq.com/?_wv=1027&k=FDmmUxxL CEKNoNimQH-f1Ra94?imageView/2/w/800" title="QQxml卡片代码合集" alt="QQxml卡片代码合集" border="0" width="750px" height="1344px" /> 新清明上河图QQxml卡片代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?> <msg serviceID="60" templateID="14" action="web" brief="进来学习中国古代美术!" sourcePublicUin="3043786528" sourceMsgId="1495460701626432" url="https://www.itql.cn" flag="3" adverSign="0" multiMsgFlag="0"> <item layout="1" advertiser_id="0" aid="0"> <vote cover="http://gchat.qpic.cn/gchatpic_new/1169088181/4177879595-3121117498-74EB28C523F12CE933EEF3BCF50D4ED1/0" /></item> <item layout="0" advertiser_id="0" aid="0"><hr hidden="false" style="0" /> </item><source name="" icon="" action="" appid="-1" /></msg> 群公告xml代码 {"app":"com.tencent.mannounce","desc":"群公告","view":"main","ver":"1.0.0.43","prompt":"[群公告]虽然我不是管理员,但是我也要发个公告装个B","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"mannounce":{"cr":1,"encode":1,"fid":"37f8880e000000008a56855eb9320800","gc":"243857463","sign":"c8d40b5e57ae5a7d6865ff0b98bf5b73","text":"6Jm954S25oiR5LiN5piv566h55CG5ZGY77yM5L2G5piv5oiR5Lmf6KaB5Y+R5Liq5YWs5ZGK6KOF5LiqQvCfjYo=","title":"576k5YWs5ZGK","uin":"2662494588"}},"config":{"ctime":1585796746,"forward":0,"token":"911493d7a80fd62b71aa91e4b1fa383c"},"text":"","extraApps":[],"sourceAd":""} 回执消息xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="107" templateID="1" action="viewReceiptMessage" brief="[回执消息]" m_resid="x0DwAEdLtzd2WJ15N2KHqOgjsp6eHn9TKKypawugshhvbhAju3TdnXtbrK7gDjhI" m_fileName="6688764403224599306" sourceMsgId="0" url="" flag="3" adverSign="0" multiMsgFlag="0"><item layout="29" advertiser_id="0" aid="0"><type>1</type></item><source name="" icon="" action="" appid="-1" /></msg> 超大图xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="5" templateID="1" action="" brief="严肃" sourceMsgId="0" url="" flag="2" adverSign="0" multiMsgFlag="0"><item layout="0"><image uuid="2BFB0CD37435F8F52659435EFB9A8396.png" md5="2BFB0CD37435F8F52659435EFB9A8396" GroupFiledid="0" filesize="38504" local_path="/storage/emulated/0/Android/data/com.tencent.mobileqq/Tencent/MobileQQ/chatpic/chatimg/832/Cache_-18f6a103c6617832" minWidth="400" minHeight="400" maxWidth="500" maxHeight="1000" /></item><source name="" icon="" action="" appid="-1" /></msg> 百元大钞xml代码 {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"百元大钞","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"https:\/\/gchat.qpic.cn\/gchatpic_new\/3020005669\/916530575-2949639428-6E45D21EADE33511C565E25AB432AB59\/0?term=2","mainUrl":""}},"text":"","extraApps":[],"sourceAd":""} 百元大钞的图片支持图床地址,可百度在线图床上传图片替换mainImages里面的地址即可 推荐QQ显示官方认证xml代码 <?xml version='1.0' encoding='UTF-8' standalone='yes' ?><msg serviceID="1" templateID="1" action="plugin" actionData="AppCmd://OpenContactInfo/?uin=QQ号" a_actionData="mqqapi://card/show_pslcard?src_type=internal&source=sharecard&version=1&uin=QQ号" i_actionData="mqqapi://card/show_pslcard?src_type=internal&source=sharecard&version=1&uin=QQ号" brief="快来看" sourceMsgId="0" url="" flag="2" adverSign="0" multiMsgFlag="0"><item layout="0" mode="1"><summary> 腾讯官方特别推荐</summary><hr hidden="false" style="0" /></item><item layout="2" mode="2"><picture cover="mqqapi://card/show_pslcard?src_type=internal&source=sharecard&version=1&uin=QQ号" w="0" h="0" /><title color="#FF4900">腾讯推荐国民男神</title><summary color="#6495ed">昵称:趣乐分享</summary></item><source name="官方认证" icon="https://qzs.qq.com/ac/qzone_v5/client/auth_icon.png?_tcvassp_0_=640shp" action="web" appid="-1" /></msg> 把QQ号替换成自己的即可 QQ假红包 {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[QQ红包]恭喜发财","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"http:\/\/url.cn\/N0VMmw0U","mainUrl":"mqqapi:\/\/forward\/url?url_prefix=这里填写加密后的群通话链接"}},"config":{"forward":1,"showSender":1},"text":"","extraApps":[],"sourceAd":"","extra":""} ...
-
最全总结!聊聊 Python 发送邮件的几种方式
1. 前言 邮件,作为最正式规范的沟通方式,在日常办公过程中经常被用到 我们都知道 Python内置了对 SMTP 的支持,可以发送纯文本、富文本、HTML 等格式的邮件 本文将聊聊利用 Python 发送邮件的 3 种方式 2. 准备 以 126 邮箱为例,在编码之前,我们需要开启 SMTP 服务 然后,手动新增一个授权码 其中,账号、授权码和服务器地址用于连接登录邮箱服务器 3. 方式一:smtplib smtplib是 Python 自带的依赖库,可以直接导入使用首先,通过邮箱账号、授权码、邮箱服务器地址初始化一个 SMTP 实例,然后进行连接 def __init__(self): # 初始化 self.smtp = smtplib.SMTP() # 连接邮箱服务器地址 self.smtp.connect('smtp.126.com') # 加入主题和附件,邮件体 self.email_body = MIMEMultipart('mixed') # 发件人地址及授权码 self.email_from_username = '**@126.com' self.email_from_password = '授权码' # 登录 self.smtp.login(self.email_from_username, self.email_from_password) 然后,将收件人列表、邮件标题、邮件正文内容、附件路径及附件文件名加入到上面定义的邮件体中 def generate_email_body(self, email_to_list, email_title, email_content, attchment_path, files): """ 组成邮件体 :param email_to_list:收件人列表 :param email_title:邮件标题 :param email_content:邮件正文内容 :param attchment_path:附件的路径 :param files:附件文件名列表 :return: """ self.email_body['Subject'] = email_title self.email_body['From'] = self.email_from_username self.email_body['To'] = ",".join(email_to_list) for file in files: file_path = attchment_path + '/' + file if os.path.isfile(file_path): # 构建一个附件对象 att = MIMEText(open(file_path, 'rb').read(), 'base64', 'utf-8') att["Content-Type"] = 'application/octet-stream' att.add_header("Content-Disposition", "attachment", filename=("gbk", "", file)) self.email_body.attach(att) text_plain = MIMEText(email_content, 'plain', 'utf-8') self.email_body.attach(text_plain) 接着,就可以使用 SMTP 实例对象,将邮件发送出去 # 收件人列表 email_to_list = ['收件人1地址','收件人2地址'] # 发送邮件 # 注意:此处必须同时指定发件人与收件人,否则会当作垃圾邮件处理掉 self.smtp.sendmail(self.email_from_username, email_to_list, self.email_body.as_string()) 邮件发送完毕之后,退出服务即可 def exit(self): """ 退出服务 :return: """ self.smtp.quit() 4. 方式二:zmail Zmail 项目创建目的是,使邮件处理变得更简单 使用 Zmail 发送接收邮件方便快捷,不需要手动添加服务器地址、端口以及适合的协议,可以轻松创建 MIME 对象和头文件 注意:Zmail 仅支持 Python3,不支持 Python2 首先,安装依赖库 # 安装依赖库 pip3 install zmail 然后,使用邮箱账号、授权码创建一个邮箱服务对象 class ZMailObject(object): def __init__(self): # 邮箱账号 self.username = '**@126.com' # 邮箱授权码 self.authorization_code = '授权码' # 构建一个邮箱服务对象 self.server = zmail.server(self.username, self.authorization_code) 接着,将邮件主题、邮件内容、包含的附件路径加入到一个字典中,组成邮件主体 # 邮件主体 mail_body = { 'subject': '测试报告', 'content_text': '这是一个测试报告', # 纯文本或者HTML内容 'attachments': ['./attachments/report.png'], } 最后,将调用send_mail()函数,将邮件发送出去即可 # 收件人 # 可以指定一个人,字符串;也可以是多个人,列表 mail_to = "收件人1" # 发送邮件 self.server.send_mail(mail_to, mail_body) 5. 方式三:yagmail yagmail 只需要几行代码,就能实现发送邮件的功能 相比 zmail,yagmail 实现发送邮件的方式更加简洁优雅 首先,安装依赖库 # 安装依赖库 pip3 install yagmail 然后,通过账号、授权码和服务器地址连接邮箱服务器,返回一个服务对象 import yagmail # 连接服务器 # 用户名、授权码、服务器地址 yag_server = yagmail.SMTP(user='**@126.com', password='授权码', host='smtp.126.com') 接着,通过 send() 函数,将邮件发送出去 # 发送对象列表 email_to = ['**@qq.com', ] email_title = '测试报告' email_content = "这是测试报告的具体内容" # 附件列表 email_attachments = ['./attachments/report.png', ] # 发送邮件 yag_server.send(email_to, email_title, email_content, email_attachments) 邮件发送完毕之后,关闭连接即可 # 关闭连接 yag_server.close() 6. 最后 上面总结了 Python 发送邮件的 3 种方式,实际项目中,更推荐使用后两种方式 我已经将文中全部源码上传到后台,关注公众号后回复「 email 」即可获得全部源码 如果你觉得文章还不错,请大家可以 加入我们的交流群,因为这将是我持续输出更多优质文章的最强动力! ...
-
QQ清明上河图XML卡片代码
<?xml version='1.0' encoding='UTF-8' standalone='yes' ?> <msg serviceID="60" templateID="14" action="web" brief="进来学习中国古代美术!" sourcePublicUin="3043786528" sourceMsgId="1495460701626432" url="http://www.dufengvip.cn" flag="3" adverSign="0" multiMsgFlag="0"> <item layout="1" advertiser_id="0" aid="0"> <vote cover="http://gchat.qpic.cn/gchatpic_new/1169088181/4177879595-3121117498-74EB28C523F12CE933EEF3BCF50D4ED1/0" /></item> <item layout="0" advertiser_id="0" aid="0"><hr hidden="false" style="0" /> </item><source name="" icon="" action="" appid="-1" /></msg> ...
-
用python编写自动信息收集脚本(三) -ip收集
本人只是python初学者,本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)!在日常渗透测试过程中我们都知道,在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利,所以信息收集格外重要。而信息收集往往费时间比较多,所以我们想写一个自动信息收集的脚本,但是代码量太大。本文就先从whois信息开始,代码不好的地方。希望大家提出意见! 本次模块配合之前的用python编写自动信息收集脚本一,二使用 import threading #多线程 import requests import time from lxml import etree import re #正则表达式 import csv import telnetlib #建立tcp链接 实现端口扫描 class xxsj(object): def __init__(self): global dk #创建全局变量,后面端口扫描用 self.wz = input("请输入您想查询的网站") #接收网站地址 dk = self.wz self.a = re.sub(r"www.","",self.wz) #正则表达式,匹配www. 然后删除 self.header = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36'} def ip(self): url='https://dns.aizhan.com/' self.wz '/' # url地址 print("----在获取ip地址----") response = requests.get(url=url, headers=self.header) selector = etree.HTML(response.content) title = "IP地址" global ab #创建全局 ...
-
用python编写自动信息收集脚本(二)网站信息搜集
本人只是python初学者,本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)!在日常渗透测试过程中我们都知道,在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利,所以信息收集格外重要。而信息收集往往费时间比较多,所以我们想写一个自动信息收集的脚本,但是代码量太大。本文就先从whois信息开始,代码不好的地方。希望大家提出意见! 本次模块配合之前的用python编写自动信息收集脚本(一)使用 def xx(self): url = 'https://www.aizhan.com/seo/' self.wz response = requests.get(url=url, headers=self.header) selector = etree.HTML(response.content) title = selector.xpath('//*[@id="icp"]/li[1]/text()')[0] #备案号 获取li[1]下的文本 infor = selector.xpath('//*[@id="icp_icp"]/text()')[0] #备案信息 a = selector.xpath('//*[@id="icp_company"]/text()')[0] #公司性质 b = selector.xpath('//*[@id="icp_type"]/text()')[0] #公司名称 c = 1 for i in range(0, 2): #写两次 将四个变量两次写人csv文件中 if c == 1: self.write([title, infor]) c = c 1 else: self.write([b, a]) ...
-
用python编写自动信息收集脚本(一)
本人只是python初学者,本文只适合初学者观看学习。大佬请绕过(或者指出需要改进的地方)! 在日常渗透测试过程中我们都知道,在对目标进行渗透之前都是先要信息收集一波。收集到越多的信息往往渗透过程中越顺利,所以信息收集格外重要。而信息收集往往费时间比较多,所以我们想写一个自动信息收集的脚本,但是代码量太大。本文就先从whois信息开始,代码不好的地方。希望大家提出意见! import requests from lxml import etree import csv class xxsj(object): def __init__(self): self.header = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36'} def whois(self): wz = input('请输入您想信息收集的网站:') print("正在whois查询",) url = 'https://whois.aizhan.com/' wz response = requests.get(url=url, headers=self.header) selector = etree.HTML(response.content) title = selector.xpath('//td[@class="thead"]/text()') yuming = selector.xpath('//td[2]//text()') a = len(title) for i in range(0, a - 1): title1 = title yuming1 = yuming self.write([title1, yuming1]) def write(self,lis): with open('信息收集.csv', ...
-
更新3款在线工具
今天闲来无事在网站更新3款在线工具,我感觉都挺好玩的哈~ 两个恶作剧页面和一个实用在线工具 工具1:杀软查询: 地址:https://www.secshi.com/sharuan.html 我感觉挺实用的哈~ 查看本机使用了什么杀软,使用CMD命令 tasklist /svc 在sharuan.html输入杀软的映像名称即可查出主机安装了什么杀软!工具2:假装是黑客 地址:https://www.secshi.com/hack.html 几乎每一部科幻片或者谍战片里都有大家十分熟悉的一些场景,比如一个 Hacker 坐在电脑前以一种「超乎常人的」速度敲打着键盘,屏幕上一行又一行的命令不断出来,各类窗口不断弹出,最后成功黑入。这种场景在常人看来是多么「炫酷」,但是自己却只能在键盘上乱打一通脑补自己就是电影里的那一位黑客。 现在,除了脑补这些画面,我们还可以在安全师上装上漂亮的一 X ,今天我们就一起来看看这个有意义的页面:打开页面后按键盘F11进行全屏,然后尽情的敲击键盘吧,假装你是个黑客,在你朋友的崇拜中迷失自我吧~~~ 当然你在使用「安全师」装 X 的同时也要注意场合,不要在警察局旁边,你点开了 网站,手指在你的机械键盘上飞速的按压着,一串清脆的咔嗒声瞬间爆发出来,这个后果,咳咳 ... 工具3:屏幕碎裂恶作剧 地址:www.secshi.com/pingmu.html玩法:借你朋友的手机或者电脑,打开网址,然后按键盘的F11进行全屏,告诉你的朋友他的电脑屏幕碎了,然后你赶紧跑路,切记!请在购买保险的情况下进行玩耍,出现任何问题与本站无关! 此屏碎的页面仅仅是一个假的恶作剧页面,你可以与你的朋友和家人在闲暇时间娱乐 ...