纯真 IP 数据库同步仓库（2025 年持续更新中）

辅助甲方安全人员巡检网站资产，发现并分析API安全问题

Automated Hosting Information Hunting Tool - Windows 主机信息自动化狩猎工具

Prompt越狱手册

一款帮助云租户发现和测试云上风险、增强云上防护能力的综合性开源工具

oss存储桶遍历漏洞利用脚本

xxl-job内存马

一个 CLASS 文件混淆工具，支持方法名/字段名/参数名引用分析和重命名混淆方式，支持字符串提取/AES加密运行时解密/整型异或混淆/垃圾代码花指令混淆/等方式，支持方法和字段的隐藏，支持INVOKE指令改反射调用，配置简单，容易上手

CVE-2022-25845(fastjson1.2.80) exploit in Spring Env!

哥斯拉Hikvision综合安防后渗透插件，运行中心/web前台/MinIO 配置提取（解密）重置密码,还原密码。

DockerApiRCE

收集整理漏洞EXP/POC,大部分漏洞来源网络，目前收集整理了1400多个poc/exp，长期更新。

This tool leverages the Process Forking technique using the RtlCreateProcessReflection API to clone the lsass.exe process. Once the clone is created, it utilizes MINIDUMP_CALLBACK_INFORMATION callb…

🧡 Follow your favorites in one inbox

通过Dump内存读取ToDesk设备代码、连接密码

4个 .soap 版本的WebShell（持续更新维护），优点：可以运行于子目录，突破了过去只能运行于根目录的限制。4个脚本分别支持调用cmd.exe/哥斯拉/冰蝎/天蝎 客户端。

proof-of-concept for generating Java deserialization payload | Proxy MemShell

#1 Locally hosted web application that allows you to perform various operations on PDF files

Notes about attacking Jenkins servers

A rouge mysql server supports reading files from most mysql libraries of multiple programming languages.

SecGPT网络安全大模型

C2-下一代RAT

[漏洞复现] 全球首款利用PHP默认环境（XAMPP）的CVE-2024-4577 PHP-CGI RCE 漏洞 EXP。

Jar Obfuscator - 一个 JAR/CLASS 字节码混淆工具，支持包名/类名/方法名/字段名/参数名引用分析和重命名混淆方式，支持字符串加密/整型异或混淆/垃圾代码花指令混淆/等方式，支持方法和字段的隐藏，支持 NATIVE 层的 JVMTI 代码加密，配置简单，文档教程齐全，容易上手

DecryptTools-综合解密

A tool to help you intercept encrypted APIs in iOS or Android apps

绕过瑞数waf的动态验证机制，实现请求包重放，理论支持不同网站环境使用，如网页、小程序、APP等。

🤖 Kill The Protected Process 🤖

基于 OPSEC 的 CobaltStrike 后渗透自动化链

用java实现构造openwire协议，利用activeMQ < 5.18.3 RCE 回显利用 内存马注入