记录一些自己常用的电脑工具。有离线软件, 也有在线网页工具。

浏览器

  1. Chrome. 插件支持比较多, https://www.google.cn/chrome/index.html
  2. Chrome Dev. 开发版, 我主要用来挂代理进行测试, https://www.google.com/chrome/dev/
  3. Opera. 可以通过侧边栏为不同的标签页分组, 适合查资料, https://www.opera.com/zh-cn
  4. Brave. 原生支持垂直标签页, https://brave.com/zh/
  5. Qutebrower. 原生支持 Vim 键位的浏览器, https://www.qutebrowser.org/
  6. LibreWolf. 一款基于 Mozilla Firefox 开发的开源浏览器, 专注于隐私保护、安全性和用户自由, 默认禁用数据收集和跟踪功能, https://librewolf.net/

Editor & Viewer

  1. Notepad–. 用来当便签, 轻量级的文本编辑器, https://gitee.com/cxasm/notepad--
  2. Notepad3. 仅支持单文件打开的文本编辑器, 反而能让人集中注意力, https://rizonesoft.com/downloads/notepad3/
  3. Sublime. 支持分栏浏览、插件也较多, https://www.sublimetext.com/
  4. Typora. Markdown 文件编辑器, 所见即所得, https://www.typora.net/
  5. SumatraPDF. 简洁轻便的 PDF 浏览器, https://www.sumatrapdfreader.org/download-free-pdf-viewer
  6. voidImageViewer. Everything 团队最新力作, 秉承了 Voidtools 一贯的设计哲学, 极致简洁, 极致高效, https://www.voidtools.com/zh-cn/downloads/
  7. MPV. 视频播放器, 比较喜欢它可以无边框播放的这一点, https://github.com/mpv-player/mpv
  8. 7-Zip. 开源的解压神器, https://www.7-zip.org/
  9. Thonny. 轻量级 Python IDE, https://thonny.org/

红队工具

WEB 信息收集

  1. Tidefinger. 指纹识别, http://finger.tidesec.net/
  2. 云悉. 指纹识别, https://www.yunsee.cn/
  3. EHole. 红队重点攻击系统指纹探测工具, https://github.com/EdgeSecurityTeam/EHole
  4. 网络空间测绘: 指利用技术方法探测全球互联网节点分布和网络关系索引,构建全球互联网图谱的方法
    1. 奇安信 Henter. https://hunter.qianxin.com
    2. 360 Quake. https://quake.360.net/quake/#/searchResult
    3. Zoomeye. https://www.zoomeye.org
    4. Fofa. https://fofa.info
    5. Shodan. https://www.shodan.io/
    6. Censys. https://search.censys.io/
  5. Dirsearch. 目录暴破工具, https://github.com/maurosoria/dirsearch
  6. Dirbuster. 目录暴破工具, 需要 Java11 环境, https://sourceforge.net/projects/dirbuster/
  7. Subfinder. 子域名发现, https://github.com/projectdiscovery/subfinder
  8. Netcraft. 子域名在线查询, https://searchdns.netcraft.com/
  9. Jsfinder. 快速提取网站 JS 文件中 URL, 子域名的工具, https://github.com/Threezh1/JSFinder
  10. ffuf. 高性能、支持复杂模糊测试、可与 Burp 联动, https://github.com/ffuf/ffuf
  11. ICP 备案查询:‌ ICP 备案‌是中国对境内非经营性互联网信息服务实行的备案管理制度, 由工业和信息化部及各省通信管理局监管
    1. 天眼查. https://www.tianyancha.com/
    2. 天眼查 ICP. ICP 备案, https://beian.tianyancha.com/
    3. 工信部 ICP 备案. ICP 备案最官方的信源, 每次查询都需要短信验证, https://beian.miit.gov.cn/#/Integrated/index
    4. ICP 备案查询. ICP 备案, https://www.beianx.cn/
  12. ipInfoSearch. IP 域名反查、权重查询以及 ICP 备案查询, https://github.com/sdfswaa/ipInfoSearch

WEB 漏扫工具

  1. Goby. 一款新的网络安全测试工具, 它能够针对一个目标企业梳理最全的攻击面信息, 同时能进行高效、实战化漏洞扫描, 并快速的从一个验证入口点, 切换到横向。我们希望能够输出更具生命力的工具, 能够对标黑客的实际能力, 帮助企业来有效地理解和应对网络攻击, https://github.com/gobysec/Goby
  2. Xray. 长亭出品一款完善的安全评估工具, 支持常见 Web 安全问题扫描和自定义 PoC, https://github.com/chaitin/xray
  3. Sqlmap. 自动化检测和利用 SQL 注入漏洞的免费开源工具, https://sqlmap.org/
  4. w9scan. 一款全能型的网站漏洞扫描器, 借鉴了各位前辈的优秀代码。内置 1200+ 插件可对网站进行一次规模的检测, 功能包括但不限于 web 指纹检测、端口指纹检测、网站结构分析、各种流行的漏洞检测、爬虫以及 SQL 注入检测、XSS 检测等等, https://github.com/w-digital-scanner/w9scan
  5. vulmap. 一款 web 漏洞扫描和验证工具, https://github.com/zhzyker/vulmap
  6. pocscan. 该工具主要用于指纹识别后, 进行漏洞精准扫描, https://github.com/DSO-Lab/pocscan
  7. pocsuite3. 开源的远程漏洞测试框架, https://github.com/knownsec/pocsuite3
  8. myscan. Myscan 是参考 AWVS 的 PoC 目录架构, Pocsuite3、sqlmap 等代码框架, 以及搜集互联网上大量的 PoC, 由 Python3 开发而成的被动扫描工具。此项目源自个人开发项目, 结合个人对 Web 渗透, 常见漏洞原理和检测的代码实现, 通用 PoC 的搜集, 被动扫描器设计, 以及信息搜集等思考实践, https://github.com/amcai/myscan

主机渗透工具

  1. Railgun. Railgun 为一款 GUI 界面的渗透工具, 将部分人工经验转换为自动化, 集成了渗透过程中常用到的一些功能, 目前集成了端口扫描、端口爆破、Web 指纹扫描、漏洞扫描、利用以及编码转换功能, https://github.com/lz520520/railgun
  2. Fscan. 内网综合扫描工具, https://github.com/shadow1ng/fscan
  3. Rustscan. 用 Rust 重写的 Fscan, https://github.com/bee-san/RustScan
  4. Nmap. 用于网络探索和安全审计的免费安全扫描程序, https://nmap.org/download.html
  5. ServerScan. 一款使用 Golang 开发且适用于攻防演习内网横向信息收集的高并发网络扫描、服务探测工具, https://github.com/Adminisme/ServerScan

脆弱性利用工具

  1. AntSword. 中国蚁剑, https://github.com/AntSwordProject/antSword
  2. Behinder. 冰蝎, 动态二进制加密网站管理客户端, https://github.com/rebeyond/Behinder
  3. Godzilla. 哥斯拉, https://github.com/BeichenDream/Godzilla
  4. Metasploit. 强大的渗透测试框架, https://www.metasploit.com/

其他红队工具(dnslog、wordlist、…)

  1. Dnslog: DNSLOG 是一种回显机制, 常用于在某些漏洞无法回显但可以发起 DNS 请求的情况下, 利用此方式外带数据, 以解决某些漏洞由于无回显而难以利用的问题
    1. dnslog.org. https://dnslog.org/
    2. Dnslog.cn. http://www.dnslog.cn/
    3. Ceye. http://ceye.io/
    4. Dig. https://dig.pm/
  2. AppInfoScanner. 一款移动端 (Android、iOS、WEB、H5、静态网站) 信息收集扫描工具, 可以帮助渗透测试工程师、红队成员快速收集到移动端或者静态 Web 站点中关键的资产信息并提供基本的信息输出。如:Title、Domain、CDN、指纹信息、状态信息等, https://github.com/kelvinBen/AppInfoScanner
  3. XSS’OR. 方便 XSS 与 CSRF 的工具, https://evilcos.me/lab/xssor/
  4. XSSEE. 加解密工具, https://evilcos.me/lab/xssee/
  5. Weakpass. 弱口令字典获取, https://weakpass.com/
  6. Web-Fuzzing-Box. Web 模糊测试字典与一些 Payloads, 主要包含:弱口令、目录以及文件枚举、Web 漏洞, https://github.com/gh0stkey/Web-Fuzzing-Box
  7. Reverse shell cheatsheet. 反弹 shell 命令生成, www.nmd5.com/test/shell.html

安全研究工具

抓包工具

  1. Wireshark. 最好的网络协议分析器, https://www.wireshark.org/
  2. Yakit. 用于平替 Burpsuite, https://yaklang.com/en/products/intro/
  3. Reqable. 小黄鸟, 可以用来进行 APP 抓包, https://reqable.com/zh-CN

逆向工具

  1. ImHex. Hex Editor, 现代 UI, 支持插件, 适合逆向分析, https://github.com/WerWolv/ImHex, https://imhex.werwolv.net
  2. Winhex. Another Hex Editor, 老牌工具, 功能全面但界面陈旧, http://www.winhex.com/winhex/index-m.html
  3. HexEdit.js. 基于浏览器的十六进制编辑, https://hexed.it/
  4. CFR. Java 反编译工具, https://github.com/leibnitz27/cfr
  5. GJoy Dex Analyzer (GDA). 全交互式的现代反编译器, 不依赖 Java 且支持 apk, dex, odex, oat, jar, class, aar 文件的反编译, 支持 Python 及 Java 脚本自动化分析, http://www.gda.wiki:9090/index.php

应急响应工具

  1. Autoruns. 查看 Windows 系统自启和注册表, https://learn.microsoft.com/zh-cn/sysinternals/downloads/autoruns
  2. Procmon. 实时追踪 Windows 系统中文件系统、注册表、进程及网络活动, https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
  3. RAMMap. Windows 内存分析工具, https://learn.microsoft.com/en-us/sysinternals/downloads/rammap

靶场

  1. 玄机靶场. 蓝队靶场, https://xj.edisec.net/
  2. 红日靶场. , http://vulnstack.qiyuanxuetang.net/vuln/wiki/
  3. Vulnhub. 下载靶场虚拟机后直接运行, https://www.vulnhub.com/
  4. Vulhub. 基于 docker 的开源漏洞环境集合, https://vulhub.org/zh
  5. TerraformGoat. 云安全靶场, cloudsec.huoxian.cn/docs/goat
  6. XSS 之旅. 在线 XSS 靶场, http://test.ctf8.com/

沙箱

  1. 微步云沙箱. 云沙箱, https://s.threatbook.com/
  2. 阿里云情报沙箱. 检测 Webshell, https://ti.aliyun.com/#/webshell

威胁情报平台

  1. 奇安信 TI. https://ti.qianxin.com
  2. 安恒星图. https://ti.dbappsecurity.com.cn
  3. 绿盟 NTI. https://ti.nsfocus.com
  4. 微步. 免费查询受限, 狗都不用, https://x.threatbook.com

漏洞知识库

  1. 长亭漏洞库. 万金油漏洞信息, https://stack.chaitin.com/vuldb/index?page=1&search=ct
  2. 安天病毒知识库. 查询病毒的基本信息, https://www.virusview.net/
  3. Exploit-db. 国外开源漏洞数据库, https://www.exploit-db.com/
  4. Awesome-POC. 一个仍在更新的 github 漏洞库, https://github.com/Threekiii/Awesome-POC/tree/master
  5. 极致攻防实验室 POC 库. 这个 github 漏洞库有点老了, 23年后已停止更新, https://github.com/UltimateSec/ultimaste-nuclei-templates/tree/main

DevOps Tools

  1. VS Code. 主要是用来做一些小项目, https://code.visualstudio.com/
  2. DEV C++. 轻量级C语言IDE, https://www.bloodshed.net/
  3. Vim. 无需多言, https://www.vim.org/
  4. Neovim. 高度可扩展的基于 Vim 的文本编辑器, https://neovim.io/
  5. Helix. 一款后现代文本编辑器, 支持 Vim 式的操作哲学, 但指令格式更符合直觉, https://helix-editor.com/
  6. Emacs. 可定制性、可拓展性极高的文本编辑器, https://www.gnu.org/software/emacs/
  7. Alacritty. 用 Rust 写的终端工具, https://alacritty.org/
  8. Tabby. 一个现代化的终端工具, 支持终端分栏. https://tabby.sh/
  9. WezTerm. 终端模拟器, 支持标签式的终端复用, 支持很细致的终端配置(例如字体样式配置), https://wezterm.org/
  10. Ghostty. Zig 语言项目, 目前仅支持 Linux、MacOS 平台, https://ghostty.org/
  11. NxShell. SSH 终端工具, 平替Xshell, https://github.com/nxshell/nxshell/tree/main
  12. FinalTerm yesfee. 服务器管理工具, https://yesfee.com/cn/index.html
  13. WinSCP. 开源图形化 SFTP 客户端, 平替 Xftp, https://winscp.net/eng/index.php
  14. DBeaver. 数据库管理工具, https://dbeaver.io/
  15. HeidiSQL. 数据库管理工具, 免费开源, https://www.heidisql.com/
  16. Git. 开源的分布式版本控制系统, https://git-scm.com/downloads/win
  17. Curl. 利用 URL 语法在命令行下工作的文件传输工具, https://curl.se/windows/

在线运行程序

  1. Json.cn-run. 多种代码在线运行, https://www.json.cn/run/
  2. Rust. 在线运行Rust, https://play.rust-lang.org/?version=stable&mode=debug&edition=2024
  3. Python-jsrun. 在线运行Python, https://jsrun.net/py/t/zv
  4. Python-JYShare. 另一个在线运行环境, https://www.jyshare.com/compile/9/
  5. PHP. Bejson, https://www.bejson.com/runcode/php/

代码格式化、混淆

  1. Json.cn-format. 多种代码格式化, https://www.json.cn/format/
  2. Json. 在线格式化, https://www.json.cn/
  3. Json. 不仅能格式化, 还能以表格的形式显示数据, https://jsongrid.com/
  4. Json. 功能强大的在线 json viewer, https://jsonviewer.stack.hu/
  5. beautifier. JS 格式化, https://beautifier.io/
  6. JsFuck. javescript 代码混淆, https://jsfuck.com/

编码加解密

  1. CyberChef. 神器, 谁用谁知道, https://cyberchef.org/
  2. Base64.us. Base64编解码字符串, https://base64.us/
  3. Base64Decode. 支持文件Base64编解码, https://www.base64decode.org/
  4. de4js. JavaScript 反混淆与解包工具, https://lelinhtinh.github.io/de4js/
  5. CMD5 在线解密. https://www.cmd5.com/
  6. CTF 在线工具. http://www.hiencode.com/

其他开发工具

  1. Regex. 正则表达式测试工具, www.wetools.com/regex
  2. Postman. 接口测试工具, https://www.postman.com/

等宽字体

  1. Fontdrop!. 可预览上传的字体, https://fontdrop.info/
  2. Consolas + 雅黑字体. https://github.com/yakumioto/YaHei-Consolas-Hybrid-1.12
  3. Nerdfont. ‌图标字体聚合器与补丁工具‌, 旨在为编程字体注入大量图标字符, 解决开发者在终端和编辑器中显示图标的需求, https://www.nerdfonts.com/font-downloads
  4. Programming Fonts. 多种编程等宽字体在线预览, https://www.programmingfonts.org/#firacode
  5. Coding Fonts. 同样是在线预览, 页面相较 Programming Fonts 要更美观, 但涵盖的字体远不如前者, https://coding-fonts.pages.dev/fonts/anonymous-pro/?language=js
  6. Latin Modern Roman. Latex 的默认正文衬线字体, https://ctan.org/pkg/lm
  7. LibertinusSerif. Typst 的默认字体, 专为现代排版需求设计, 尤其适合学术出版, https://github.com/alerque/libertinus/releases
  8. Monaspace. 比较新的等宽字体, https://github.com/githubnext/monaspace
  9. 霞鹜文楷. 一款开源中文字体, 基于 FONTWORKS 出品字体 Klee One 衍生, https://github.com/lxgw/LxgwWenkaiGB
  10. Macondo, *Designed by John Vargas Beltrán. 很有意思的伪手写字体, https://fonts.google.com/specimen/Macondo
  11. Recursive Mono & Sans. 一款仿手写字体的卡通风格等宽字体, https://www.recursive.design/
  12. Commit Mono. 设计哲学是等宽、中性、高辨识度, 高度可定制化, 提供多种字重, https://commitmono.com/
  13. Julia Mono. 一款类似 Consolas 的字体,拥有大字符集和多种字符变体, https://juliamono.netlify.app/
  14. FiraCode. 经典编程等宽字体, 以连字功能著称, https://github.com/tonsky/FiraCode

其他

一些妙妙工具

  1. Everything. 神器, 懂的都懂, https://www.voidtools.com/zh-cn/
  2. Listary. 用于软件快启, 同时内置了 Everything, https://www.listary.net/
  3. OneCommander. 用来替代系统文件资源管理器, 但没有系统自带的流畅, https://onecommander.com/
  4. Q-Dir. 好用的资源管理器, 支持多种分栏布局, 根据文件类型的颜色高亮, https://www.softwareok.com/?seite=Freeware/Q-Dir
  5. Draw.io. 免费开源的绘图工具, Visio 的优秀平替, https://www.drawio.com/
  6. Clash-Verge. 基于 Tauri 的 Mihomo GUI (Clash 内核), https://www.clashverge.dev/
  7. PixPin. 截图软件, 有截长图功能和文字识别, https://pixpin.cn/
  8. Snipaste. 截图软件, 小体积功能强大, https://www.snipaste.com/
  9. 图吧工具箱. 神器不解释, https://www.tbtool.cn/
  10. Foxmail. 邮件管理软件, 界面 UI 确实比较老了, 但运行效率比较高, 缺点是只能在工作在 Windows 平台, https://www.foxmail.com/win/zh/
  11. Thunderbird. 全平台邮件管理软件, https://www.thunderbird.net/zh-CN/
  12. OpenArk. 查看快捷键占用, https://openark.blackint3.com/
  13. Raindrop.io. web 端在线书签管理工具, https://app.raindrop.io/
  14. PearOCR. 在线图片转文字 OCR, https://pearocr.com/#/
  15. Convertio. 在线 PNG 转换为 ICO 图片, https://convertio.co/zh/png-ico/
  16. Chinaz. 站长工具, https://tool.chinaz.com/
  17. 在线 IP 工具:
    1. 3030 工具库. IP 工具库 API, https://3.0.3.0/
    2. ipaddress. 外网 IP 归属地查询, https://www.ipaddress.com/
    3. tool.lu. IP 归属地查询, https://tool.lu/ip
    4. ip 经纬度. IP 经纬度查询, http://jingweidu.757dy.com/
    5. ipuu. IP 归属查询, 精度高但每天就 3 次免费, https://www.ipuu.net/Home
    6. ip33 主站. IP 工具箱, https://www.ip33.com/
  18. 在线域名工具:
    1. ip33. DNS 在线解析, https://www.ip33.com/dns.html
    2. ip138. 域名历史解析, https://site.ip138.com/baidu.co
    3. ipchaxun. IP & 域名查询、反查, https://ipchaxun.com/
  19. Feedly. RSS 阅读器, https://feedly.com

操作系统官网、编程语言、镜像站

  1. Kali Linux. https://www.kali.org/
  2. Ubuntu Linux. https://cn.ubuntu.com/
  3. Arch Linux. https://archlinux.org/
  4. Hellowindows. Windows 系统下载仓储, https://www.hellowindows.cn/
  5. 阿里巴巴 Linux 开源镜像站. https://developer.aliyun.com/mirror/
  6. 网易 Linux 开源镜像站. https://mirrors.163.com/

资讯、BLOG

  1. 阮一峰的网络日志. 大神博客, https://www.ruanyifeng.com/blog/
  2. SEC-1275-1. 一个俄国的网站, 能获取安全资讯, https://1275.ru/

摄影、图片、设计

  1. 天空之城. 航拍, https://www.skypixel.com/
  2. dribbble. 设计风格很不错, https://dribbble.com/
  3. Unsplash. 免费图片, https://unsplash.com/
  4. pexels. 免费图片, https://www.pexels.com/zh-cn/
  5. webgradients. 设计颜色, https://webgradients.com/
  6. iconfont. 阿里巴巴矢量素材库, https://www.iconfont.cn/

AI Like

  1. 千问(Qwen3). 好用、爱用, https://www.qianwen.com/
  2. Kimi. 善于文本总结, https://kimi.moonshot.cn/
  3. chatglm. 智谱清言, 会对全网内容进行检索, 然后给出总结, https://chatglm.cn
  4. 百度 ai 搜索. 对百度搜索的内容进行 ai 总结, 可以玩一玩, https://chat.baidu.com/
  5. 法行宝. 法律小模型, https://ailegal.baidu.com/
  6. 无问社区. 查漏洞、技术贴, 且有自己的知识库, https://www.wwlib.cn/
  7. Reverso. 翻译, https://www.reverso.net/