著名的K8_Struts2_漏洞利用工具，可利用Struts2_漏洞进行任意代码执行和任意文件上传。 本工具仅供学习交流，请勿用于任何非法活动。

各种漏洞利用的工具，脚本适合CTF线下，线上也可以

漏洞检测工具

QQkey工具源码全zip

2019.11.9更新： 由于当初作者开发时能力有限，导致工具本身存在着重重和问题矛盾等多重矛盾。目前有很多其他的优秀工具提供了对shiro检测/利用更好的支持（如更好的回显支持，更有效的小工具与直接支持内存外壳等），此工具当前已相形见绌。请各位移步其他更优秀的项目，感谢各位的使用。 2019.9.20更新： 对回显方式进行了一次更新，希望现在能好用一点 2020.9.12更新： 很多回显方式在本地测试OK，但是在实际环境中却不行，这个问题我不知道该怎么解决，希望有师傅可以指导下或者一起讨论下。 ShiroExploit 支持对Shiro550（硬编码秘钥）和Shiro721（Padding Oracle）的一键化检测，支持多种回显方式 使用说明 初步：按要求输入要检测的目标URL和选择突破类型 Shiro550提供rememberMe Cookie， Shiro721需要提供一个有

使用注意： 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，比如Url填写清楚，IP地址写对了，报错或者抛异常神马的别怪我，调输入校验好蛋疼。 本工具与网上已公布工具优点： 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能，利用的是jboss的热部署功能，直接部署一个war包，一键返回一个菜刀shell 3. 反弹shell部分更完美，不再加载远程war包，直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制，本地（4.2.3.GA）测试成功，其他版本请自测 5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境 待完成： we blogic回显结果测试中，稍后加入

可以利用FCK编辑器漏洞的工具，具体利用方法见附件文档。

FCK编辑器漏洞综合利用工具

XSSer：自动化XSS漏洞检测及利用工具 跨站点“Scripter”（又名XSSer）是一个自动化框架，用于检测、利用以及报告基于Web应用程序 中的XSS漏洞。 它包含多个尝试绕过某些过滤器的选项，以及各种特殊的代码注入技术。

AttackWebFrameworkTools 1.0 2021-02-15 ReadTeam的AttackWebFrameworkTools 更新状态日志： 2021-02-15新增activemq exp / poc 2021-02-14更新solr exp / poc结果增加了cve编号和断裂名称 2021-02-12更新solr 4个exp / poc动图测试效果见本页底部 2021-02-08更新solr CVE-2019-17558一个CVE 2021-02-05更新Dlink 2021-02-01更新apachedruid ....... 工具编写背景： 编写目的：测试已经公开突破 背景在公司内部有些早已经公开的扩展struts2 thinkphp weblogic这些需要批量测试用网上的工具有C＃写的有python java写的用这些工具都得装一下依赖库。pyth