fishso's repositories
marshalsec
一个Java编码、解码漏洞利用工具,加入了Dubbo-Hessian2和Apache Shiro PaddingOracle CBC的exploits,并修改了RMIRefServer,使用tomcat-el依赖,实现RMI攻击8u191以上版本jdk服务(TomcatELRMIRefServer)
all-my-collection-repos
All Security Resource Collections Repos That I Published.
ANDRAX-Mobile-Pentest
ANDRAX Advanced Penetration Testing Platform for Android Smartphones
APKmenuTOOL
APKmenuTOOL - 安卓右键工具
ApkVulCheck
This is a tool to help androidcoder to check the flaws in their projects.
BinderFuzzy
An app intended for fuzzing the Android Binder interface and System Services
Burpsuite-Plugins-Usage
Burpsuite-Plugins-Usage
dubbo-exp
Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化。
elf-dump-fix
Utils use to dump android ELF from memory and do some fix including the ELF section header rebuilding
FartRepair
fart修复脚本
gadgetinspector
一个通过分析字节码进行污点分析的静态代码审计应用(添加了大量代码注释,适合大家进行源码学习)。加入了挖掘Fastjson反序列化gadget chains(曾使用它挖掘到了Fastjson、Jackson通用的gadget chain)和SQLInject(JdbcTemplate、MyBatis、JPA、Hibernate、原生jdbc等)静态检测功能。
getLoaclDevMac
get local net device mac
GitGot
Semi-automated, feedback-driven tool to rapidly search through troves of public data on GitHub for sensitive secrets.
IDontSpeakSSL
Simple tool based on sslyze to scan large scope and provide SSL/TLS vulnerabilities
learnjavabug
Java安全相关的漏洞和技术demo,原生Java、Fastjson、Jackson、Hessian2、XML反序列化漏洞利用和Spring、Dubbo、Shiro、CAS、Tomcat、RMI、Nexus等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-Hessian2安全加固等等实践代码。
lxhToolHTTPDecrypt
Simple Android/iOS protocol analysis and utilization tool
pivaa
Created by High-Tech Bridge, the Purposefully Insecure and Vulnerable Android Application (PIVAA) replaces outdated DIVA for benchmark of mobile vulnerability scanners.
porn-app-reverse
一款福利app加密分析
Red-Teaming-Toolkit
A collection of open source and commercial tools that aid in red team operations.
tomcat-cluster-session-sync-exp
tomcat使用了自带session同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包, 可以对使用了tomcat自带session同步功能的服务器进行攻击
Wallbreaker
help you understand java memory world.
wechat_spider
使用“代理”的方式来抓取微信公众账号文章,可以抓取阅读数、点赞数,基于 anyproxy。
XMagicHooker
【xposed wework wechat 企业微信 微信 逆向】自动抢回复 会话 自动通过 好友列表 群管理 机器人 SDK ,底层需要 Xposed 或 VirtualXposed 等Hooking框架的支持,如果你手机安装有xposed框架,那么可以下载源码直接运行