渗透测试 Skill技能列表
ExploitationKnowledgeBaseSkill exploitation-knowledge
这个知识库提供了全面的漏洞利用方法和技术,包括将发现的漏洞转化为实际访问权限、寻找和适配漏洞利用程序、在非交互式环境中工作、建立稳定的shell以及捕获用户标志。关键词包括漏洞发现、漏洞适配、初始访问、Shell稳定化、用户标志捕获。
pentest-coordinatorSkill pentest-coordinator
利用ReAct方法论的自主渗透测试协调器。当用户提供目标IP或请求开始渗透测试时自动激活。协调侦察、利用和权限提升,直到捕获用户和root标志。
NiktoWeb服务器漏洞扫描器Skill webapp-nikto
Nikto Web服务器漏洞扫描器是一款专业的开源安全工具,专门用于对Web服务器进行全面的安全评估和漏洞检测。该工具能够识别常见的安全漏洞、配置错误、过时软件版本以及服务器信息泄露等问题。主要功能包括:Web安全扫描、漏洞检测、配置审计、合规性检查、SSL/TLS安全评估等。适用于渗透测试、安全运维、漏洞挖掘、安全审计等网络安全领域。关键词:Web安全扫描、漏洞检测、渗透测试、安全评估、服务器加固、Nikto工具、网络安全、漏洞挖掘、配置审计、合规扫描。
recon-nmapSkill recon-nmap
网络侦察和安全审计工具,使用Nmap进行端口扫描、服务枚举和漏洞检测。
pentest-metasploitSkill pentest-metasploit
这是一个使用Metasploit框架进行渗透测试、漏洞验证和授权安全评估的技能。它包括了从验证授权和范围、配置工作区和目标枚举、选择和配置漏洞利用、执行漏洞利用、进行后利用活动,到清理工件和会话等一系列结构化工作流程。
dast-zapSkill dast-zap
使用OWASP ZAP进行动态应用安全测试(DAST),包括被动和主动扫描,API测试和OWASP Top 10漏洞检测。
DASTwithNucleiSkill dast-nuclei
Nuclei是一个快速、基于模板的漏洞扫描器,来自ProjectDiscovery,它使用YAML模板检测Web应用程序、API、网络和云基础设施中的安全漏洞、配置错误和暴露问题。拥有7000+社区模板覆盖CVE、OWASP漏洞和自定义检查,Nuclei提供了高效的自动化安全测试,误报率极低。
api-mitmproxySkill api-mitmproxy
mitmproxy是一个用于API安全测试的交互式HTTPS代理工具,支持流量的拦截、修改和重放。它覆盖了HTTP/1、HTTP/2、HTTP/3和WebSockets等现代API安全测试所需的协议,提供了Python脚本API以实现自动化测试,并具备多种界面(控制台、Web、CLI)以适应不同的使用场景。
recon-nmapSkill recon-nmap
网络侦察和安全审计工具,使用Nmap进行端口扫描、服务枚举和漏洞检测。
FFUF网络模糊测试技能Skill ffuf-web-fuzzing
FFUF网络模糊测试技能提供使用FFUF工具进行渗透测试的专家级指导,涵盖目录发现、子域名枚举、参数模糊测试、POST数据模糊测试等,强调自动校准和认证测试,以提高Web安全评估效率。关键词:FFUF, 网络模糊测试, 渗透测试, Web安全, 自动校准, 认证测试, 漏洞挖掘。
SupabaseURL提取技能Skill supabase-extract-url
这个技能用于从Web应用程序的客户端代码中提取Supabase项目URL,是渗透测试和安全审计的关键步骤,帮助识别API端点进行进一步测试。关键词:Supabase URL提取,渗透测试,安全审计,API安全,网络安全扫描。
PrivilegeEscalationKnowledgeBaseSkill privilege-escalation-knowledge
这是一个关于Linux系统权限提升的综合知识库,提供了从低权限用户提升到root用户的方法和技巧,包括快速胜利、深度枚举、替代方法、利用执行和root标记捕获等步骤。关键词包括'权限提升'、'Linux'、'sudo'、'SUID'、'内核漏洞'。