PayloadsAllTheThings 是一个全面的存储库,包含用于 Web 应用程序安全测试和研究的有效载荷、技术和绕过方法。该存储库为渗透测试人员、安全研究人员以及有兴趣了解和测试不同技术和平台上的各种安全漏洞的开发人员提供了参考。
该存储库主要侧重于提供
有关方法和专门的攻击技术,请参阅方法论和资源。有关特定的 Web 漏洞,请参阅Web 应用程序漏洞。
来源:README.md1-4
PayloadsAllTheThings 存储库组织结构清晰,便于查找特定的攻击媒介和技术。下图展示了其高层组织结构。
存储库中的每个漏洞或技术章节都遵循标准化格式,以确保一致性和易用性。
| 组件 | 描述 |
|---|---|
| README.md | 包含漏洞描述、利用技术和各种有效载荷 |
| Intruder 目录 | 为 Burp Suite Intruder 格式化的文件 |
| 图像目录 | 文档中引用的视觉资源 |
| 文件目录 | 文档中引用的附加文件 |
PayloadsAllTheThings 涵盖了广泛的安全主题,并被组织成不同的类别。
攻击媒介 (Attack Vectors) 部分是该存储库的核心,包含了各种漏洞、利用技术和有效载荷的详细信息。每个漏洞都在其各自的目录中以标准化内容进行文档记录。
突出的攻击媒介示例包括:
本节提供了针对特定环境测试的全面指南和方法论。
| 方法论 | 重点 |
|---|---|
| Active Directory 攻击 | 用于测试和利用 Active Directory 环境的技术 |
| 云渗透测试 | 用于测试 AWS 和 Azure 环境的方法 |
| Windows/Linux 权限提升 | 在不同操作系统上提升权限的技术 |
| 网络跳板 | 在渗透测试期间进行网络枢纽(pivoting)的方法 |
PayloadsAllTheThings 还包括精选的学习资源
要查找特定漏洞的有效载荷:
PayloadsAllTheThings 的替代网络版本可在 PayloadsAllTheThingsWeb 获取,它提供了一个更用户友好的界面来浏览内容。
来源:README.md12
PayloadsAllTheThings 是一个安全资源系列的一部分
| 项目 | 重点 |
|---|---|
| InternalAllTheThings | Active Directory 和内部渗透测试备忘录 |
| HardwareAllTheThings | 硬件/物联网渗透测试维基 |
有关特定漏洞和技术的更多详细信息,请导航至此维基中的相关部分。
PayloadsAllTheThings 欢迎安全社区的贡献。有关如何贡献的详细指南,请参阅贡献 PayloadsAllTheThings。
来源:README.md4-5 README.md34-44
PayloadsAllTheThings 中的每个漏洞部分都遵循此模板结构
这种结构化方法确保了所有章节的一致性,使用户能够更容易地查找和利用进行安全测试和研究所需的信息。