超棒黑客必備清單

轉載 - 精靈

0x00 前言

在Github上發(fā)現(xiàn)的，覺得表單很棒，不過還是少了一些，以后會陸續(xù)添加優(yōu)秀干貨，個人更新的Github以及Blog。

English Version

0x01 正文

一份精美的黑客必備表單,靈感來自于超棒的機器學習，如果您想為此列表做出貢獻（歡迎），請在github給我一個pull或聯(lián)系我@carpedm20，有關可供下載的免費黑客書籍列表，請點擊此處。

目錄

• 系統(tǒng)方面
  • 教程
  • 工具
  • Docker
  • 常用
• 逆向方面
  • 教程
  • 工具
  • 常用
• Web方面
  • 教程
  • 工具
• 網絡方面
  • 教程
  • 工具
• 取證方面
  • 教程
  • 工具
• 密碼方面
  • 教程
  • 工具
• Wargame方面
  • 系統(tǒng)
  • 逆向工程
  • Web
  • 網絡
  • 取證
  • 密碼學
• CTF方面
  • 比賽
  • 常用
• OS安全方面
  • 在線資源
• 其他

系統(tǒng)方面

教程

• Corelan團隊的Exploit寫作教程
• 為滲透測試員開發(fā)的Exploit寫作教程

工具

• Metasploit - 一個計算機安全項目，提供有關安全漏洞的信息，并幫助進行滲透測試和入侵檢測系統(tǒng)開發(fā)。
• mimikatz - 一個玩Windows安全有用的工具

有關滲透測試和安全方面的Docker鏡像

• docker pull kalilinux/kali-linux-docker official Kali Linux
• docker pull owasp/zap2docker-stable - official OWASP ZAP
• docker pull wpscanteam/wpscan - official WPScan
• docker pull pandrew/metasploit - docker-metasploit
• docker pull citizenstig/dvwa - Damn Vulnerable Web Application (DVWA)
• docker pull wpscanteam/vulnerablewordpress - Vulnerable WordPress Installation
• docker pull hmlio/vaas-cve-2014-6271 - Vulnerability as a service: Shellshock
• docker pull hmlio/vaas-cve-2014-0160 - Vulnerability as a service: Heartbleed
• docker pull opendns/security-ninjas - Security Ninjas
• docker pull usertaken/archlinux-pentest-lxde - Arch Linux Penetration Tester
• docker pull diogomonica/docker-bench-security - Docker Bench for Security
• docker pull ismisepaul/securityshepherd - OWASP Security Shepherd
• docker pull danmx/docker-owasp-webgoat - OWASP WebGoat Project docker image
• docker-compose build && docker-compose up - OWASP NodeGoat
• docker pull citizenstig/nowasp - OWASP Mutillidae II Web Pen-Test Practice Application
• docker pull bkimminich/juice-shop - OWASP Juice Shop

常用

• Exploit database - 漏洞利用和易受攻擊軟件的終極存檔庫

逆向方面

教程

• 逆轉新手
• 惡意軟件分析教程：逆向工程

工具

• nudge4j - 讓瀏覽器與JVM交互的Java工具
• IDA - IDA是可以工作在Windows，Linux或Mac OS X的多處理反匯編和調試工具
• OllyDbg - Windows 32位匯編程序級別調試工具
• x64dbg - Windows上開源x64/x32調試工具
• dex2jar - 用于處理用于處理Android .dex和Java .class文件的工具
• JD-GUI - 顯示Java源代碼“.class”文件的獨立圖形實用工具
• procyon - 現(xiàn)代化開源Java反編譯工具
• androguard - 用于Android應用程序的逆向工程，惡意軟件分析工具
• JAD - JAD Java反編譯工具(閉源, 不常更新)
• dotPeek - JetBrains公司開發(fā)的免費的.NET反編譯工具
• ILSpy - 開源的集瀏覽和反編譯.NET程序工具
• dnSpy - 集編輯，反編譯和調試.NET程序工具
• de4dot - 破解.NET程序工具
• antinet - 用于反編譯和混淆代碼的.NET程序工具
• UPX - 終極封裝可執(zhí)行文件工具
• radare2 - 便攜式的逆向工程框架工具
• plasma - 適用于x86/ARM/MIPS交互式反匯編，使用花指令語法代碼生成偽代碼。
• Hopper - 適用于OS X和Linux反匯編/反編譯32/64位Windows/MAC/LINUX/iOS的可執(zhí)行文件工具
• ScratchABit - 使用IDAPython兼容插件API輕松重新定位和可攻擊的交互式反匯編工具

常用

• 開放的惡意軟件查詢

Web方面

工具

• sqlmap - 自動SQL注入和數(shù)據庫入侵工具
• tools.web-max.ca - base64，base85編碼/解碼

網絡方面

工具

• Wireshark - 免費開源的流量包分析工具
• NetworkMiner - 網絡取證分析工具
• tcpdump - 功能強大的命令行流量包分析工具，自帶的libpcap用于網絡流量捕獲的便攜式C/C++庫
• Paros - 基于Java的HTTP/HTTPS代理用于評估Web應用程序漏洞工具
• pig - Linux下偽造流量包工具
• ZAP - ZAP是用于發(fā)現(xiàn)Web應用程序中漏洞易于使用的集成式滲透測試工具
• mitmproxy - 基于HTTP具有交互式控制界面并支持SSL中間代理的工具
• mitmsocks4j - 基于Java支持中間SOCKS代理工具
• nmap - Nmap安全掃描工具
• Aircrack-ng - 用于破解802.11 WEP和WPA-PSK密鑰工具
• Charles Proxy - 用于查看截獲的HTTP和HTTPS/SSL實時流量的跨平臺圖形化用戶界面Web調試代理工具
• Nipe - 使Tor網絡成為默認網關的腳本

取證方面

工具

• Autospy - 數(shù)字取證平臺，The Sleuth Kit的圖形界面，還包含其他數(shù)字取證工具。
• sleuthkit - 收集各種命令行數(shù)字取證工具庫
• EnCase - Guidance Software開發(fā)的一套使用共享技術數(shù)字取證工具
• malzilla - 惡意軟件抓捕工具
• PEview - 快速簡便查看程序結構和32位可移植可執(zhí)行文件（PE）以及組件對象文件格式（COFF）文件的內容
• HxD - 十六進制編輯器，除了主存儲器（RAM）的原始磁盤編輯和修改之外，可以處理任何大小的文件。
• WinHex - 十六進制編輯器，有助于計算機取證，數(shù)據恢復，低級數(shù)據處理和IT安全領域。
• BinText - 一個小而快強大的文本提取器，程序員特別感興趣。

密碼方面

工具

• xortool - 一種分析多字節(jié)XOR密碼工具
• John the Ripper - 快速密碼破解工具
• Aircrack - 802.11 WEP和WPA-PSK密鑰破解工具

Wargame方面

系統(tǒng)

• OverTheWire - Semtex
• OverTheWire - Vortex
• OverTheWire - Drifter
• pwnable.kr - 提供有關系統(tǒng)安全性的各種pwn挑戰(zhàn)
• Exploit Exercises - Nebula
• SmashTheStack

逆向工程

• Reversing.kr
• CodeEngn
• simples.kr
• Crackmes.de

Web

• Hack This Site!
• Webhacking.kr
• 0xf.at

密碼

• OverTheWire - Krypton

CTF方面

比賽

• DEF CON
• CSAW CTF
• hack.lu CTF
• Pliad CTF
• RuCTFe
• Ghost in the Shellcode
• PHD CTF
• SECUINSIDE CTF
• Codegate CTF
• Boston Key Party CTF

常用

• CTFtime.org
• WeChall
• CTF archives (shell-storm)
• Rookit Arsenal
• Pentest Cheat Sheets - 滲透測試方面的干貨
• Movies For Hacker - 每個黑客必須看的電影清單

OS安全方面

在線資源

• Security related Operating Systems @ Rawsec - 完整的有關操作系統(tǒng)安全表單
• Best Linux Penetration Testing Distributions @ CyberPunk - 滲透測試分工說明
• Security @ Distrowatch - 致力于討論，審核和保持更新開源操作系統(tǒng)的網站

其他

• SecTools - 前125名網絡安全工具