立哥先进技术-常用渗透测试工具

DirBuster

DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务器上的目录和文件名。

Hscan

Hscan是暴力破解的利器，支持多线程方式对指定的IP段，或主机列表进行检测，图形界面和命令行两种方式，此款软件适合大规模的网段主机密码扫描破解，速度很快，可以挂载自己的黑客字典对指定的主机进行密码破解。

Xscan

X-Scan是国内最著名的综合扫描器之一，它完全免费，是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成，从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国内众多黑客的心血。

Hydra

Hydra是世界第一款 parallized 协议登录的黑客工具。可以用来对需要网络登录的系统进行快速的字典攻击，包括Samba、FTP、POP3、IMAP、Telnet、HTTP Auth、LDAP、NNTP、MySQL、VNC、ICQ、Socks5、PCNFS、Cisco等，支持SSL加密，包括了对 Socks5 和 SSL 支持。

Metasploit

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，密码审计，Web应用程序扫描，社会工程。

DSQLTools

啊D注入工具是一种主要用于SQL的注入工具，由彭岸峰开发，使用了多线程技术，能在极短的时间内扫描注入点。使用者不需要经过太多的学习就可以很熟练的操作。并且该软件附带了一些其它的工具，可以为使用者提供极大的方便。

Pangolin

Pangolin是一款SQL注入测试工具，能够自动化的进行注入漏洞的检测，从检测注入开始到最后控制目标系统都给出了测试步骤，是目前国内使用率最高的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQL Server 2008、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。

Sqlmap

Sqlmap是一款基于python开发的SQL注入工具，几乎支持现在所有的数据库，功能非常强大。

Beef

BeEF是浏览器攻击框架的简称，是一款专注于浏览器端的渗透测试工具。

Wireshark

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

HttpAnalyzer

HTTP Analyzer 是一个sniffer工具，它可以实时捕捉HTTP/HTTPS 协议数据，可以显示许多信息（包括：文件头、内容、Cookie、查询字符窜、提交的数据、重定向的URL地址），可以提供缓冲区信息、清理对话内容、 HTTP状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。

Cain

Cain是一款主要针对微软操作系统的免费口令恢复工具。其功能十分强大，它能够网络嗅探，网络欺骗，破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议，甚至还能够监听内网中他人使用VOIP拨打电话。

Ophcrack

Ophcrack是一个使用Rainbow table（彩虹表）来破解视窗作业系统下的LAN Manager散列（比如hash文件）的程序，它是基于GPL下发布的开放原始码程式。

John

著名的黑客组织--UCF出品的网络密码破解软件

梵天之眼

根据之前收集到信息针对组件，服务器版本信息进行特定的漏洞库匹配

Burpsuite

Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。

Nmap

Nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。收集框架版本信息（如：Spring，Mybatis，Netty，Nginx，Zookeeper ，Kafka，Jetty，Zabbix，Redis，Elasticsearch）