RSS KitPloit - ペネトレーション・ツールズ！ - TheNote.app

RSS KitPloit - ペネトレーション・ツールズ！
フォロー

KitPloitは、システム運営、ペネトレーションテスト、サイバーセキュリティ教育のための包括的なオープンソースのサイバーセキュリティーフレームワークです。このフレームワークは、倫理的なハッキング、セキュリティーオーディット、ペネトレーションテストのトレーニングを行うための広範囲なツールセットを提供します。ウェブサイトは、ユーザーフレンドリーなグラフィカルインターフェースで複雑なペネトレーションテストの手順を簡略化し、ユーザーの倫理的なハッキングとセキュリティーアウェアネスを高めます。このフレームワークは、複数のペネトレーションテストプラットフォームで動作し、新しいセキュリティーの課題とエクスプロイトベクトルに対処するために定期的に更新される柔軟で拡張可能な構造を提供します。

KitPloit - PenTest Tools! kitploit.com

RSS feeds.feedburner.com

RSS Hunter • 2024年8月23日

ノートのスレッド

Shodan-Dorks - Shodan用Dorks; インターネットに接続されたデバイスを検索するための強力なツール

「このGitHubリポジトリは、インターネットに接続されたデバイスを検索する強力なツール」であるShodan向けの検索クエリーのコレクションを提供します。これらの「ドークス」は、セキュリティー研究者が様々なデバイスの潜在的な脆弱性や設定の問題を発見するのを支援することを目的として設計されています。このリソースは、経験のある情報セキュリティープロフェッショナルや初心者にとって有益です。ユーザーは、このリポジトリを活用することで、自分のネットワークのセキュリティを向上させ、潜在的な攻撃を防ぐことができます。リポジトリには、特定のデバイス、ソフトウェア、設定向けの広範囲な検索クエリーが含まれています。これらのクエリーは、デバイスやシステムの潜在的な脆弱性や弱点を特定するために使用できます。検索クエリーは、デバイスの種類、ソフトウェア、設定別にカテゴリ化されており、特定の脆弱性を簡単に探すことができます。このリポジトリは、セキュリティー研究者、ペネトレーションテスター、システム管理者にとって貴重なリソースです。デバイスやシステムの潜在的な脆弱性や弱点を特定するために使用できる包括的な検索クエリーのリストを提供します。」

Shodan-Dorks - Dorks for Shodan; a powerful tool used to search for Internet-connected devices kitploit.com

RSS Hunter • 2025年5月11日

Pegasus-Pentest-Arsenal - 10種類の強力なペネトレーションテスト機能を1つのツールに統合した、包括的なWebアプリケーションセキュリティテストツールキット

「Pegasus-Pentest-Arsenal」は、10個の強力なペネトレーションテスト機能を1つのツールに統合した、包括的なWebアプリケーションセキュリティテストツールキットです。このツールキットはLetda Kes Dr. Sobri, S.Komによって作成され、GitHubで公開されています。ツールキットの機能には、サブドメイン検出、HTTPスキャナー、JWTトークンインスペクター、パラメータ汚染ファインダー、CORS設定ミススキャナー、アップロードバイパステスター、公開された.gitディレクトリファインダー、SSRF検出器、ブラインドSQLインジェクション時間遅延検出器、ローカルファイルインクルージョンマッパーが含まれます。ツールキットは、リポジトリをクローンし、仮想環境を作成し、依存関係をインストールすることでインストールできます。このツールキットは教育および許可されたテスト専用であり、責任を持って倫理的に使用する必要があります。ユーザーは、ターゲットをテストする前に適切な許可を取得する責任があり、作者はこのツールの誤用または損害について責任を負いません。ツールキットはMITライセンスの下でライセンスされており、ユーザーはリポジトリをフォークし、フィーチャーブランチを作成し、変更をコミットし、ブランチにプッシュし、プルリクエストを作成することでプロジェクトに貢献できます。ツールキットはPython 3.8以降と、requirements.txtファイルにリストされている特定のパッケージを必要とします。ツールキットは教育および許可された目的でのみ使用する必要があり、ユーザーは常にターゲットをテストする前に適切な許可を得る必要があります。

Pegasus-Pentest-Arsenal - A Comprehensive Web Application Security Testing Toolkit That Combines 10 Powerful Penetration Testing Features Into One Tool kitploit.com

RSS Hunter • 2025年5月11日

Witcher: GitHub Advanced Security (GHAS) の制御を大規模に管理する

Witcherは、GitHub上で大規模なアプリケーションセキュリティ制御を実装および監視するために設計されたNodeJSツールです。GHAS、Dependabot、シークレットスキャン、CodeQL、IaC、ワークフローなどのモジュールをサポートしています。このツールを使用すると、組織全体でこれらのモジュールの有効化、無効化、ステータスの確認、アラートの管理が可能です。Dockerを使用してインストールおよび実行でき、GitHub認証およびオプションの統合のための環境変数を必要とします。Witcherは、日次サマリー、一括操作、Slack、SIEM、Jiraとの統合などの機能を提供します。リポジトリは、構成ファイルを使用してコア機能から除外できます。一般的なコマンドには、GHASステータスのリスト表示、GHASの有効化/無効化、およびコードスキャンの脆弱性の取得などがあります。日次サマリーは、GHAS、Dependabot、コードスキャンを含むセキュリティステータスの包括的な概要を提供します。Witcherは、公開、アーカイブ、および非推奨のリポジトリをその操作から除外し、将来の機能強化のためのロードマップを持っています。

Witcher - Managing GitHub Advanced Security (GHAS) Controls At Scale kitploit.com

RSS Hunter • 2025年5月9日

ByeDPIAndroid - アンドロイドでの検閲回避アプリ

ByeDPIAndroidは、ローカルのSOCKS5プロキシを実行することで、深いパケット検査（DPI）と検閲を回避するためのAndroidアプリケーションです。ルートアクセスが不要な状態で、アプリケーションをByeDPI経由で全トラフィックをリダイレクトします。このアプリケーションは、トラフィックを暗号化したり、ユーザーのIPアドレスを隠すことはありません。ユーザーは、特定のブロックをバイパスするための設定を構成することができます。ByeDPIのドキュメントに詳細があります。このアプリケーションは、プロキシモードで構成されたAdGuardと互換性があり、AdGuardの例外に追加することができます。ByeDPIAndroidは、ユーザーデータを収集しません。すべてのトラフィックをデバイス上でローカルに処理します。DPIは、ウェブサイトやサービスをブロックするためのトラフィック分析技術です。このアプリケーションは、ByeDPIとhev-socks5-tunnelの依存関係に依存しています。アプリケーションのビルドには、JDK 8+、Android SDK、Android NDK、CMake 3.22.1+が必要です。インストールは、提供されたGitHub URLを使用してObtainiumを介して行うことができます。

ByeDPIAndroid - App To Bypass Censorship On Android kitploit.com

RSS Hunter • 2025年5月8日

API-s-for-OSINT - 電話番号、住所、ドメインなどに関する情報を収集するためのAPIのリスト

これは、オープンソースインテリジェンス（OSINT）タスクの自動化に役立つAPIのまとめです。 ShodanやCensysのようなIoT/IP検索エンジンなど、さまざまなカテゴリを網羅しており、デバイスとホストデータを提供しています。 Social LinksのようなユニバーサルOSINT APIは、メールアドレスやソーシャルメディアの検索を提供しており、一部は有料です。電話番号の検索と検証サービスには、NumverifyやTwilioが含まれており、料金体系は異なります。 Global AddressやGoogle Maps Geocodingのような住所と郵便番号の検索APIがリストされており、一部は無料アクセスを提供しています。 Approuve.comやOnfido.comのような人物とドキュメントの検証サービスも含まれており、主に本人確認に使用されます。 Open CorporatesやLinkedInのようなビジネスとエンティティの検索APIは、企業情報の取得に利用できます。 API OSINT DSやInfoDB APIのようなドメイン、DNS、IP検索ツールは、ドメインとIPアドレスに関する情報を提供します。 WebScraping.AIのようなモバイルアプリのエンドポイントAPIとWebスクレイピングツールは、モバイルとWebデータの抽出に利用できます。最後に、WHOISデータ、ジオロケーション、Wi-Fi検索、ネットワーク情報、金融、メール検証、名前分析、漏洩データ検索、Webアーカイブ、ハッシュ復号、暗号通貨情報などのAPIも含まれています。

API-s-for-OSINT - List Of API's For Gathering Information About Phone Numbers, Addresses, Domains Etc kitploit.com

RSS Hunter • 2025年5月7日

Firecrawl-Mcp-Server - 公式 Firecrawl MCP サーバー - Cursor、Claude、その他あらゆる LLM クライアントに強力なウェブスクレイピング機能を追加

このドキュメントでは、ウェブスクレイピングにFirecrawlを使用したモデルコンテキストプロトコル (MCP) サーバーの実装について説明します。このサーバーは、JSレンダリングによるウェブスクレイピング、URLクロール、コンテンツ抽出、バッチスクレイピングなどの機能を提供します。クラウドとセルフホストの両方のFirecrawlインスタンスをサポートし、Cursor、Windsurf、Claude Desktopと統合されています。各プラットフォーム向けにインストール手順が提供されており、APIキーやオプションパラメータの設定詳細が含まれています。scrape、batch scrape、search、crawl、extract、deep research、llms.txt生成ツールなど、いくつかのツールが利用可能です。各ツールの使用方法とパラメータは、例を挙げて説明されています。このサーバーは、堅牢な動作のために、リトライロジック、クレジット使用状況の監視、およびレート制限を組み込んでいます。包括的なロギングとエラー処理のメカニズムも含まれています。設定例は、リトライ動作、クレジット閾値、およびAPIエンドポイントをカスタマイズする方法を示しています。このサーバーは、多様なウェブスクレイピングタスクに対して、信頼性が高く効率的なソリューションを提供することを目指しています。

Firecrawl-Mcp-Server - Official Firecrawl MCP Server - Adds Powerful Web Scraping To Cursor, Claude And Any Other LLM Clients kitploit.com

RSS Hunter • 2025年5月6日

Deep-Live-Cam - 1枚の画像だけで、リアルタイムの顔入れ替えとワンクリックビデオディープフェイク

Deep-Live-Cam は、単一の画像だけでリアルタイムの顔交換と動画ディープフェイクを可能にするソフトウェアです。キャラクターのアニメーションやコンテンツ作成といったクリエイティブな用途を目的としていますが、悪用を防ぐための安全対策も講じています。本ソフトウェアは、ヌードや暴力的な表現など、不適切なコンテンツの処理を防止します。倫理的な使用には、実在する顔の肖像権者の同意と、ディープフェイクの明確な表示が必須です。法的コンプライアンスを優先し、必要に応じてプロジェクトの中止や透かしの追加を行います。ユーザーは、自身の行為と法的・倫理的基準の遵守について全責任を負います。本ソフトウェアは、口のマスキング、複数の人物への顔マッピング、ライブショー機能などの機能を提供します。インストールには技術的なスキルが必要ですが、あらかじめ構築されたバージョンも利用可能です。GPUアクセラレーションは、CUDA、CoreML、DirectML、またはOpenVINOを介して高速な処理を可能にします。本ソフトウェアは、画像/動画モードまたはウェブカメラモードで動作し、様々なパラメータと出力品質のオプションが利用できます。

Deep-Live-Cam - Real Time Face Swap And One-Click Video Deepfake With Only A Single Image kitploit.com

RSS Hunter • 2025年5月5日

CAMEL - 初めてにして最高のマルチエージェントフレームワーク。エージェントのスケーリング則を発見する

CAMELは、大規模な調査を通じてエージェントのスケーリング則を発見することに焦点を当てたオープンソースのコミュニティです。このフレームワークは、研究を促進するために、さまざまなエージェント、タスク、プロンプト、モデル、およびシミュレーション環境をサポートしています。CAMELの設計原則は、効果的なエージェントの相互作用のために、進化可能性、スケーラビリティ、状態保持、およびコードとしてのプロンプトを重視しています。研究者はCAMELを使用して、大規模なエージェントシステムをシミュレートし、動的なコミュニケーションを可能にし、エージェントに状態保持型のメモリを装備します。複数のベンチマーク、多様なエージェントタイプをサポートし、データ生成を自動化し、さまざまなツールとシームレスに統合します。CAMELは、データ生成システム、タスク自動化ツール、およびワールドシミュレーションの構築を可能にします。開始は簡単で、pip install camel-aiを実行し、OpenAI APIキーを設定するだけです。CAMELの技術スタックには、エージェント、エージェント社会、データ生成、モデル、およびメモリのためのモジュールが含まれています。CAMELは研究への貢献を奨励し、指示とタスクの視覚化を含む合成データセットを提供します。このプラットフォームは、RAGやナレッジグラフなどの高度な機能を含む、エージェントおよびマルチエージェントシステムを構築するための実践的なクックブックを提供します。

CAMEL - The First And The Best Multi-Agent Framework. Finding The Scaling Law Of Agents kitploit.com

RSS Hunter • 2025年5月4日

Liam - データベースから美しく読みやすいER ダイアグラムを自動生成

Liam ERDは、データベースからインタラクティブなER図を生成するツールで、複雑なスキーマを簡単に理解することを可能にします。美しいクリーンデザインと直感的な機能、例えばパン、ズーム、フィルタリングがあります。このツールは、ゼロコンフィギュレーションで既存のデータベーススキーマを明確な図に変換することができます。Liam ERDは、小規模プロジェクトから大規模プロジェクトまで、高パフォーマンスで100以上のテーブルをハンドリングするように最適化されています。このツールはフルオープンソースであり、ユーザーがプロジェクトに貢献し、ニーズに合わせて形を変えることができます。パブリックリポジトリでは、ユーザーはスキーマファイルにURLを挿入するだけで始めることができます。プライベートリポジトリでは、コマンドを使用してインタラクティブな設定を行うことができます。このプロジェクトはオープンソースであり、スターのサポートを受け、より広いオーディエンスに達し、開発を続けることを目指しています。Liam ERDのドキュメントはウェブサイトで見つけることができ、ロードマップでは、次のステップが何であるかを示しています。総的には、Liam ERDは、複雑なデータベースを簡単に視覚化するための有用なツールです。

Liam - Automatically Generates Beautiful And Easy-To-Read ER Diagrams From Your Database kitploit.com

RSS Hunter • 2025年5月3日

SubGPT - GPTでサブドメインを無料で検索

SubGPTは、BingGPTを利用して、特定のドメインに対して既に見つかっているサブドメインのリストを基に、さらに多くのサブドメインを発見する無料のツールです。このツールは、pipを使ってインストールするか、GitHubリポジトリをクローンしてsetup.pyファイルを実行することでインストールできます。SubGPTを使用するには、Bingのクッキーが必要です。クッキーは、クッキーエディター拡張機能をインストールし、Bing.comにログインしてコピーすることで取得できます。SubGPTの標準的な実行方法は、入力ファイル、出力ファイル、そしてcookies.jsonファイルへのパスを指定することです。出力ファイルが指定されない場合、出力はターミナルに表示されます。SubGPTは、--dont-resolveオプションを使用することで、サブドメインを解決せずに生成することもできます。このツールは、他の方法でいくつかのサブドメインを発見した後に使用するように設計されており、サブドメインのリストが1つのドメインからのサブドメインのみを含むようにすることが重要です。SubGPTは、A/CNAMEレコードを参照してサブドメインが存在するかどうかを判断し、第一レベルのサブドメインにおけるワイルドカードを検出し、自動的に処理できます。

SubGPT - Find Subdomains With GPT, For Free kitploit.com

RSS Hunter • 2025年5月2日

Uro - クローリング/ペンテストのためのURLリストの整理

Uroは、セキュリティーテストのためにURLリストを精錬するツールです。HTTPリクエストを行わず、構造に基づいてURLを分析します。重複ページや、パラメーターのみ異なるURL、画像、スクリプト、スタイルシートなどの一般的なウェブリソースファイルを除外します。インストールは通常pipxを介して行われます。基本的な使用方法は、uroにURLリストをパイプラインで渡すことです。ファイルからURLを読み書きする機能や、特定のファイル拡張子をホワイトリストやブラックリストに追加する機能もあります。"hasparams"、"noext"、"vuln"などのオプションを使用して、細やかなフィルタリングを行うことができます。セキュリティー分析の効率化のために、conciseかつ関連のあるURLリストを提供することを目指しています。

Uro - Declutters Url Lists For Crawling/Pentesting kitploit.com

RSS Hunter • 2025年5月2日

Wshlient - ウェブシェルとコマンドインジェクションの脆弱性と対話するためのシンプルなツール

Wshlientは、シンプルながらも多用途なWebシェルクライアントであり、HTTPリクエストにコマンドを挿入することでシェルを作成できます。Wshlientを使用するには、HTTPリクエストを含むテキストファイルを作成し、コマンドを挿入する場所を指定する必要があります。このツールに必要なのは「requests」ライブラリだけで、pipを使用するか、requirements.txtファイルを実行することでインストールできます。インストール後、コマンド「./wshlient.py -h」を実行してヘルプメニューを表示できます。ヘルプメニューには、デバッグ出力の有効化、空白文字の$IFSへの置換、コマンドURLエンコーディングの無効化など、利用可能な様々なオプションが表示されます。出力の開始と終了を示すトークンを指定することもできます。Wshlientは、ツールを使用・共有したり、バグを報告したり、機能を提案したり、コーディングしたりすることで貢献できます。Wshlientはシンプルで使いやすいことを目標としています。このツールはGitHubリポジトリからダウンロードできます。全体的に見て、WshlientはHTTPリクエストにコマンドを挿入することでシェルを作成する便利な方法を提供します。

Wshlient - A Simple Tool To Interact With Web Shells And Command Injection Vulnerabilities kitploit.com

RSS Hunter • 2025年4月30日

Pulsegram - Telegramと統合されたキーロガー

PulseGramは、敵対的シミュレーションやセキュリティテストの文脈で使用するために設計された、Telegramボットと統合されたキーロガーです。キーストローク、クリップボードの内容、スクリーンショットをキャプチャし、設定されたTelegramボットに情報を送信します。このツールは教育目的と、許可された環境でのセキュリティテストのみを対象としており、不正な使用は違法となる可能性があります。PulseGramは、キーストロークのキャプチャ、クリップボードの監視、定期的なスクリーンショット、エラーログの機能を備えています。インストールするには、リポジトリをクローンし、依存関係をインストールし、Telegramボットトークンを設定します。ツールは、ボットの初期化、補助関数、およびキーロギングをそれぞれ処理する、pulsegram.py、helpers.py、keylogger.pyの3つのモジュールで構成されています。ユーザーは、キーストローク、スクリーンショット、およびクリップボードの内容のキャプチャと送信の時間間隔を設定できます。このプロジェクトはMITライセンスの下でライセンスされており、貢献は歓迎されますが、ユーザーは行動規範を尊重する必要があります。PulseGramの不正使用は、地域の法律およびプライバシーポリシーに違反する可能性があります。このツールはダウンロード可能であり、許可された環境でのみ使用する必要があります。

Pulsegram - Integrated Keylogger With Telegram kitploit.com

RSS Hunter • 2025年4月29日

Scrapling - 検知されにくく、強力で、柔軟性が高く、高性能なPythonライブラリ。Webスクレイピングをシンプルで簡単に戻します！

Scraplingは、ウェブサイトの変化に適応し、人気の代替手段よりも優れたパフォーマンスを発揮する、Python向けの高性能でインテリジェントなウェブスクレイピングライブラリです。初心者から上級者まで、シンプルさを維持しながら強力な機能を提供します。Scraplingを使用すると、非同期サポートを使用して好みに合わせてウェブサイトを取得し、ボット対策を回避し、ウェブサイトのデザイン変更後もデータのスクレイピングを維持できます。このライブラリは、スマートな要素追跡、柔軟な選択、スマートなコンテンツスクレイピングを特徴としています。Scraplingは非常に高性能で、非常に高速な速度、メモリ効率、高速なJSONシリアライゼーションを実現しています。このライブラリは、強力なナビゲーション、豊富なテキスト処理、自動セレクター生成を備えた開発者フレンドリーなAPIを備えています。使い始めるには、pipを使用してScraplingをインストールし、必要なフェッチャーとクラスをインポートします。Scraplingは、Fetcher、AsyncFetcher、StealthyFetcher、PlayWrightFetcherなど、それぞれ独自の機能と構成を持つさまざまなフェッチャーを提供しています。このライブラリはまた、ScrapyやLxmlなどの一般的なPythonライブラリとのパフォーマンスを比較したベンチマークを提供しており、ScraplingはScrapyと同等で、Lxmlよりもわずかに高速であることを示しています。全体的に、Scraplingは強力で効率的なウェブスクレイピングライブラリであり、ウェブサイトからデータを簡単に抽出できます。

Scrapling - An Undetectable, Powerful, Flexible, High-Performance Python Library That Makes Web Scraping Simple And Easy Again! kitploit.com

RSS Hunter • 2025年4月28日

VulnKnox - KNOXSS API を利用した、XSS脆弱性テストを自動化するための Go言語ベースのラッパー

VulnKnox は、Go で記述されたコマンドラインツールで、KNOXSS API と連携して、クロスサイトスクリプティング (XSS) の脆弱性について URL のテストを自動化します。パイプ入力、設定可能なリトライとタイムアウト、高度な機能（Advanced Filter Bypass、Flash Mode など）をサポートしています。カスタムヘッダー、プロキシサポート、通知用の Discord Webhook 連携など、ツールを構成できます。VulnKnox を使用するには、KNOXSS API キーを取得し、config.json ファイルを編集して設定する必要があります。ツールは、単一の URL または複数の URL を含む入力ファイルに対してテストに使用でき、HTTP メソッド、POST データ、および出力のカスタマイズオプションがあります。VulnKnox は、成功した XSS ペイロード、安全な応答、エラー、およびスキップされたドメインのインジケーターを含む、色分けされた結果の詳細な出力を提供します。また、実行の最後に、実行されたリクエストの数や成功した XSS の発見を含む概要も提供します。プロジェクトへの貢献は大歓迎で、MIT ライセンスの下でライセンスされています。VulnKnox は、XSS 脆弱性テストを自動化するための強力なツールであり、その高度な機能はセキュリティ専門家にとって貴重な資産となります。全体として、VulnKnox は、Web アプリケーションで XSS 脆弱性を特定するための、多機能でカスタマイズ可能なツールです。

VulnKnox - A Go-based Wrapper For The KNOXSS API To Automate XSS Vulnerability Testing kitploit.com

RSS Hunter • 2025年4月27日

Camtruder - 高度なRTSPカメラ検出と脆弱性評価ツール

Camtruderは、Go言語で記述された高性能なRTSPカメラ検出と脆弱性評価ツールです。様々な認証方法とパス組み合わせを用いて、ネットワーク上の脆弱なRTSPカメラを効率的にスキャンし、特定します。ターゲット指向のスキャンとインターネット全体を対象としたスキャンの両方をサポートしています。主な機能には、高度なスキャン機能、スクリーンショット撮影、出力ディレクトリの構成、位置情報に基づいた検索、包括的な認証テスト、スマートパス検出、高性能アーキテクチャが含まれます。Camtruderを使用するには、Go 1.19以降、スクリーンショット機能のためのffmpeg、インターネット接続、特定のスキャンモードではroot/管理者権限が必要です。このツールはgo installを使用してインストールするか、リポジトリをクローンしてソースからビルドできます。基本的なコマンドには、単一のIPアドレス、ネットワーク範囲、または場所のスキャン、および検出されたカメラのスクリーンショット撮影が含まれます。高度なオプションには、カスタムクレデンシャル、スレッド数の増加、および他のツールにパイプされる生の出力を伴う位置情報検索が含まれます。Camtruderはセキュリティ調査と許可されたテストのみに使用することを意図しており、ユーザーはターゲットシステムをスキャンする許可を持っていること、および適用される法律および規制を遵守する必要があります。

Camtruder - Advanced RTSP Camera Discovery and Vulnerability Assessment Tool kitploit.com

RSS Hunter • 2025年4月26日

Frogy2.0 - 自動外部偵察および攻撃対象領域管理 (ASM) ツールキット

Frogy 2.0 は、組織全体のインターネットプレゼンスをマッピングし、アセット、IPアドレス、Webアプリケーション、メタデータを特定する、自動化された外部偵察および攻撃対象領域管理 (ASM) ツールキットです。攻撃者の視点から見て、最も魅力的なものから順にアセットを優先順位付けします。このツールキットは、包括的な偵察、ライブアセット検証、詳細なWeb偵察、スマートな優先順位付け、専門的なレポート作成を特徴としています。リスクスコアリングは、目的、見つかったURL、ログインインターフェース、HTTPステータス、TLSバージョン、証明書の有効期限、欠落しているセキュリティヘッダー、開いているポート、テクノロジースタックなどの要因を考慮し、アセットの魅力に基づいて行われます。各要因は最終的なリスクスコアに寄与し、バグバウンティハンターやペンテスターが最も有望なターゲットに集中するのに役立ちます。このツールは、モダンなデザインとダーク/ライトテーマ切り替えを備えた、動的でカラーコード化されたHTMLレポートを生成します。レポートは、各アセットのリスクスコアを提供し、攻撃者が利用できるより広範な「攻撃対象領域」を示します。Frogy 2.0 は、セキュリティチームが深いテストを必要とするアセットを迅速に優先順位付けし、開いているポートの数が多いもの、高度な内部利用があるもの、ヘッダーが欠落しているもの、またはログインパネルがあるものに焦点を当てるのに役立ちます。このツールキットは、インストールと使用が簡単で、ビデオデモも利用できます。今後の開発ロードマップには、セキュリティとコンプライアンス関連データの追加、列データのフィルタリング、ターゲット選択のための優先順位付けの強化が含まれます。

Frogy2.0 - An Automated External Reconnaissance And Attack Surface Management (ASM) Toolkit kitploit.com

RSS Hunter • 2025年4月25日

PEGASUS-NEO - セキュリティ専門家とエシカルハッカーのために設計された包括的なペネトレーションテストフレームワーク。偵察、悪用、ワイヤレス攻撃、ウェブハッキングなど、複数のセキュリティツールとカスタムモジュールを組み合わせています。

PEGASUS-NEOは、セキュリティ専門家向けのペネトレーションテストフレームワークであり、さまざまな攻撃ベクトルに対するツールを提供しています。これには、偵察、悪用、ワイヤレス攻撃、ウェブハッキング用のモジュールが含まれます。このフレームワークは、教育および倫理的な目的のみに使用されます。未承認の使用は違法です。開発者は、不正使用について責任を負いません。ソフトウェアは独自の所有権に基づいており、その使用は著作権の対象となります。主な機能には、パスワードのクラッキング、OSINTの収集、ネットワークおよびウェブアプリケーションに対するさまざまな攻撃方法が含まれます。インストールにはPython 3.8以上、Linux、root権限が必要です。使用には、スクリプトを実行してメニュー駆動のインターフェイスをナビゲートする必要があります。 PEGASUS-NEOには、数多くの有名なセキュリティツールが組み込まれており、ソースコード保護のためのセキュリティ機能を使用しています。このプロジェクトは現在クローズドソースであり、サポートは電子メールを通じて提供されます。ソフトウェアは、独自のライセンスの下でライセンスされています。

PEGASUS-NEO - A Comprehensive Penetration Testing Framework Designed For Security Professionals And Ethical Hackers. It Combines Multiple Security Tools And Custom Modules For Reconnaissance, Exploitation, Wireless Attacks, Web Hacking, And More kitploit.com

RSS Hunter • 2025年4月24日

Text4Shell-Exploit - Apache Commons Text（バージョン < 1.10）に存在する、リモートコード実行の重大な脆弱性（CVE-2022-42889）であるText4Shellを標的とした、カスタムPythonベースの概念実証（PoC）エクスプロイト

「Text4Shell（CVE-2022-42889）」は、Apache Commons Textに存在する重大な脆弱性であり、Pythonベースの概念実証（PoC）エクスプロイトが存在します。この脆弱性により、StringSubstitutorクラスで補間が有効になっているJavaアプリケーションでリモートコード実行が可能になります。攻撃は、脆弱なパラメータ内に悪意のある式を挿入することで発生し、通常は「data」クエリパラメータを介して行われます。エクスプロイトは、${script:...}構文を使用して任意のシステムコマンドを実行します。この特定のPoCは、POSTリクエストを介して送信されるリバースシェルペイロードを使用します。ユーザーは、ターゲットアプリケーションに基づいてペイロードとリクエストパスを適応させる必要があります。エクスプロイトは、教育目的および認可されたペネトレーションテストのみに使用することを意図しています。Apache Commons Textバージョン1.10.0以前でテストされています。ユーザーは、注意を払い、責任を持って使用する必要があります。

Text4Shell-Exploit - A Custom Python-based Proof-Of-Concept (PoC) Exploit Targeting Text4Shell (CVE-2022-42889), A Critical Remote Code Execution Vulnerability In Apache Commons Text Versions < 1.10 kitploit.com

RSS Hunter • 2025年4月23日

Ghost-Route - Ghost Routeは、Next.jsサイトが不正なミドルウェアバイパスバグ（CVE-2025-29927）に対して脆弱かどうかを検出します

「Ghost-Route」というPythonスクリプトは、CVE-2025-29927の脆弱性についてNext.jsウェブサイトをチェックします。この脆弱性により、カスタムHTTPヘッダーを介して保護されたルートへの不正アクセスが可能になります。Next.jsバージョン11.1.4以降が影響を受けます。このスクリプトは、リポジトリのクローン作成と仮想環境内での依存関係のインストールが必要です。ユーザーは、テスト対象のウェブサイトのベースURLと保護されたパスを提供します。オプションの引数により、レスポンスヘッダーを表示できます。このツールは教育目的のみを対象としており、無許可の使用は推奨しません。これは、Rachid A. Yasser Allam氏によるNext.jsと破損したミドルウェアに関する研究に起因します。このスクリプトはMITライセンスの下でリリースされています。

Ghost-Route - Ghost Route Detects If A Next JS Site Is Vulnerable To The Corrupt Middleware Bypass Bug (CVE-2025-29927) kitploit.com

RSS Hunter • 2025年4月22日

Bytesrevealer - オンライン逆アセンブルビューア

Bytes Revealerは、セキュリティ研究者や開発者を対象とした、リバースエンジニアリングとバイナリ解析のためのブラウザベースツールです。16進表示、データ可視化、文字列抽出、エントロピー計算、ファイル署名検出などの機能を提供します。最大50MBのファイルは完全に解析され、それ以上のファイルでも最大1.5GBまでは限定的な解析機能が利用できます。Vue.jsで構築され、Web Workerを活用することでパフォーマンスを向上させており、データはサーバーに保存することなくクライアントサイドで解析を実行します。主な機能には、複数のデータビュー、高度な検索機能、詳細な文字列解析などが含まれます。このツールはDockerを使用して利用したり、GitHubリポジトリをクローンしてローカルにインストールしたりできます。チャンク処理とメモリ管理によってパフォーマンスが最適化されています。Bytes Revealerは最新のブラウザに対応しており、プルリクエストによる貢献を歓迎しています。今後の機能強化としては、ファイル形式のサポート拡大と高度な解析機能の追加が予定されています。

Bytesrevealer - Online Reverse Enginerring Viewer kitploit.com

RSS Hunter • 2025年4月21日

セントラルファイアウォール - ファイアウォール設定の集中化と効率化を目的としたファイアウォールマネージャAPIを提供する。

Firewall Manager API プロジェクトのインストールは、GitHub からリポジトリをクローンすることで始まります。次に、.env ファイルを編集して、ユーザーの特定の構成に合わせる必要があります。Docker Compose を使用して API を起動し、デタッチドモードで実行します。実行中のコンテナーの状態を確認するには、'docker ps' コマンドを使用します。ファイアウォールクライアントを設定するには、ノードサーバーに提供されたエージェントをインストールします。構成には、Firewall Manager 内でグループと API キーを作成し、ノードサーバーの config.ini ファイルを編集して API URL、API キー、およびホスト名を指定します。変更を適用するためにファイアウォールエージェントを再起動し、状態を確認します。SIEM 統合には、ドキュメントに記載された特定の POST リクエスト形式で Firewall Manager にログを送信するように SIEM を構成する必要があります。Swagger ドキュメント（提供されたリンク先）には、詳細な情報が提供されています。デフォルトの資格情報が提供されていますが、設定で変更することができます。最後に、プロジェクトのメンテナーは、GitHub Sponsors でのスポンサーを受け入れています。

CentralizedFirewall - Provides A Firewall Manager API Designed To Centralize And Streamline The Management Of Firewall Configurations kitploit.com

RSS Hunter • 2025年4月20日

Maryam - オープンソースインテリジェンス (OSINT) フレームワーク

Maryamは、OSINT（オープンソース・インテリジェンス）とデータ収集のためのオープンソースフレームワークであり、効率的なデータ収集を実現するためのモジュール設計を採用しています。Linux、FreeBSD、Darwin、OSXなどの様々なオペレーティングシステムをサポートしており、pip経由でインストールできます。最新バージョンはGitHubリポジトリから直接インストール可能です。Maryamは、DNS検索、YouTube検索、Google検索など、多様なモジュールを提供し、コマンドラインオプションを通じて制御できます。このフレームワークは、マルチスレッド処理とJSON形式でのAPI出力をサポートしています。ユーザーは、プロキシ、ユーザーエージェント、タイムアウトなどの設定を構成できます。プログラムからアクセスするためのWeb APIを起動することも可能です。モジュールの追加や既存の検索エンジンの利用に関するガイドラインが用意されており、コントリビューション（貢献）が奨励されています。バグ報告や機能リクエストは、issueトラッカーを通じて提出できます。

Maryam - Open-source Intelligence(OSINT) Framework kitploit.com

RSS Hunter • 2025年4月19日

TruffleHog Explorer - TruffleHogで抽出されたデータを可視化・分析するためのユーザーフレンドリーなウェブベースツール

「TruffleHog Explorer」は、強力なオープンソースのシークレット検出ツールであるTruffleHogのデータを可視化し、分析するために設計されたウェブベースのツールです。TruffleHogは、コードリポジトリ内のAPIキーやパスワードのような機密性の高い認証情報を特定するのに役立ちます。Explorerは、強力なフィルタリング、エクスポートオプション、およびバッチ処理を備えた、改善されたユーザーインターフェースを誇り、セキュリティ専門家が潜在的なシークレットを効率的にレビューできるようにします。現在、ダッシュボードは主にGitHub TruffleHog JSON出力に対応しており、将来のアップデートでより幅広い互換性が計画されています。主な機能には、直感的なナビゲーション、様々な基準による柔軟なフィルタリング、および発見結果の一括検証/拒否などがあります。ユーザーは、複数の形式で結果をエクスポートし、セッションを保存して後でレビューすることができます。使用するには、リポジトリをクローンし、ブラウザでindex.htmlを開き、TruffleHog JSON出力ファイルをアップロードします。その後、ユーザーは必要に応じてフィルタリング、発見結果のレビュー、および結果のエクスポートを行うことができます。このツールは、動的なソートと自動セッションバックアップも提供します。

TruffleHog Explorer - A User-Friendly Web-Based Tool To Visualize And Analyze Data Extracted Using TruffleHog kitploit.com

RSS Hunter • 2025年4月18日

PANO - グラフの視覚化、タイムライン分析、AI支援を組み合わせてデータに隠されたつながりを明らかにする高度なOSINT調査プラットフォーム

PANOは、グラフの視覚化、タイムライン分析、およびAIパワードのツールを組み合わせた強力なOSINT調査プラットフォームです。始めるには、リポジトリをクローンし、アプリケーションを実行し、スタートアップスクリプトに従ってPython環境を設定し、依存関係をインストールする必要があります。プラットフォームは、インタラクティブなグラフの視覚化、タイムライン分析、マップ統合、エンティティ管理、AI統合などの多くの機能を提供します。ユーザーは、調査を作成し、エンティティを追加し、接続を発見し、パターンを分析し、後で使用するために作業を保存することができます。プラットフォームは、メールアドレス、ユーザー名、ウェブサイト、画像、ロケーション、イベント、テキストコンテンツなどの多くのエンティティタイプをサポートしています。トランスフォームシステムにより、ユーザーは、新しい情報と関係を自動的に発見する操作を自動化することができます。また、AI統合により、自然言語による調査アシスタンスが提供されます。ユーザーは、カスタムエンティティ、トランスフォーム、ヘルパーを作成して、プラットフォームの機能を拡張することもできます。プラットフォームへの貢献は歓迎されており、ユーザーはリポジトリをフォークし、変更を加え、テストし、メインブランチにプルリクエストを作成することができます。プラットフォームには、WindowsやLinux、Python 3.11+、PySide6 for GUI、およびオンライン機能のためのインターネット接続が必要です。プロジェクトは、クリエイティブ・コモンズ・アトリビューション・ノンコマーシャル・ライセンスの下にライセンスされており、非商業目的でのみ、ユーザーがマテリアルを共有、適合、ビルドすることを許可しています。

PANO - Advanced OSINT Investigation Platform Combining Graph Visualization, Timeline Analysis, And AI Assistance To Uncover Hidden Connections In Data kitploit.com

RSS Hunter • 2025年4月17日

Wappalyzer-Next - Wappalyzer 拡張機能（およびそのフィンガープリント）を使用して技術を検出する Python ライブラリ

Wappalyzer-Nextは、Wappalyzer拡張機能とそのフィンガープリントを使用して技術を検出するコマンドラインツールおよびPythonライブラリです。公式のオープンソースプロジェクトが中断された後に出現した他のプロジェクトの制限を回避します。Wappalyzerをインストールするには、Firefoxとgeckodriverをインストールする必要があります。geckodriverは、公式のGitHubリリースページからダウンロードし、システムパスに追加することができます。Wappalyzerは、pipxを使用してコマンドラインツールとして、pipを使用してライブラリとしてインストールすることができます。また、Docker Composeを使用してインストールして実行することもできます。ツールは、認証、出力形式、スキャンタイプのオプション付きで、単一のURLや複数のURLをスキャンすることができます。PythonライブラリはPyPIにあり、wappalyzerとしてインポートでき、analyze()というメイン関数があります。analyze関数は、URL、スキャンタイプ、スレッド、Cookieなどのパラメーターを受け取り、検出された技術を含む辞書を返します。スキャンタイプには、HTTPリクエストとブラウザーエミュレーションのレベルが異なる「fast」、「balanced」、「full」の3種類があります。

Wappalyzer-Next - Python library that uses Wappalyzer extension (and its fingerprints) to detect technologies kitploit.com

RSS Hunter • 2025年4月16日

Telegram-Checker - 電話番号またはユーザー名でTelegramアカウントをチェックするためのPythonツール

Telegram Phone Checkerは、電話番号またはユーザー名を使用してTelegramアカウントをチェックするPythonスクリプトです。単一または複数の電話番号とユーザー名をチェックする機能、テキストファイルからの番号のインポート、プロフィール写真の自動ダウンロード機能を備えています。スクリプトは結果をJSONファイルとして保存し、詳細なユーザー情報を提供します。また、安全な認証情報の保存と保存済み認証情報のクリアも可能です。スクリプトをインストールするには、リポジトリをクローンし、pipを使用して必要なパッケージをインストールする必要があります。必要なパッケージはtelethon、rich、click、python-dotenvです。スクリプトを実行する前に、Telegram API認証情報、電話番号、および確認コードを設定する必要があります。スクリプトはコマンドラインから実行でき、入力またはファイルからの電話番号またはユーザー名のチェック、保存済み認証情報のクリア、終了など、6つのオプションを提供します。結果はresultsフォルダにJSONファイルとして、ダウンロードされたプロフィール写真はprofile_photosフォルダに保存されます。このツールは教育目的のみであり、ユーザーはTelegramの利用規約とユーザーのプライバシーを尊重する必要があります。

Telegram-Checker - A Python Tool For Checking Telegram Accounts Via Phone Numbers Or Usernames kitploit.com

RSS Hunter • 2025年4月15日

Torward - Torghost-GnとDarktorスクリプトをベースに改良された、インターネット上の匿名性を高めるためのツール

Torwardは、torghost-gnとdarktorを基盤としており、コンピュータのすべてのトラフィックをTorネットワーク経由に強制することでオンラインでの匿名性を高めます。データの漏洩を防ぎ、プライバシーを強化します。主なセキュリティ改善点としては、IPv6を無効にしてすべてのトラフィックをTor経由でルーティングすることによるIPv6リークの防止があります。厳格なiptablesルールは、Tor以外のトラフィックをブロックし、DNSクエリをTor経由に強制し、必要不可欠なTorポート接続のみを許可します。torwardファイルは、DNSを含むすべてのトラフィックがTorを使用するようにします。インストールは、GitHubリポジトリをクローンし、インストールスクリプトを実行することで行います。将来の改善点としては、Tor APIを使用して出口ノードのIPアドレスを表示することなどが挙げられます。Torの切断やネットワークの問題に対する堅牢なエラー処理も計画されています。Torwardは、オンライン活動においてより高いレベルの匿名性とセキュリティを提供することを目的としています。このツールは、潜在的なデータ漏洩に対するシステム構成を大幅に強化します。

Torward - An Improved Version Based On The Torghost-Gn And Darktor Scripts, Designed To Enhance Anonymity On The Internet kitploit.com

RSS Hunter • 2025年4月14日

Instagram-Brute-Force-2024 - Python 3.13 および X64 ビットに対応した Instagram ブルートフォースツール 2024 / Chrome ブラウザ専用

Instagram ブルートフォース (CPU/GPU対応) 2024(スクリプト実行時はオプション2を使用してください。) (オプション1は開発中です。) (デバイスに Chrome がインストールされている必要があります。) (GUIサポートされているOSのみ対応・テスト済み) Python 3.13 x64 bit Unix / Linux / Mac / Windows 8.1 以降インストール: pip install -r requirements.txt 実行方法: python3 instagram_brute_force.py [Instagramユーザー名（ハッシュタグなし）] 例：python3 instagram_brute_force.py mrx161 Instagram-Brute-Force-2024 をダウンロードしてください。注意：このツールは不正な目的で使用しないでください。アカウントへの不正アクセスは犯罪です。

Instagram-Brute-Force-2024 - Instagram Brute Force 2024 Compatible With Python 3.13 / X64 Bit / Only Chrome Browser kitploit.com

RSS Hunter • 2025年4月13日

QuickResponseC2 - QRコードを活用してコマンドを送信し、リモートシステムから結果を受信するコマンド＆コントロール（C2）サーバー

QuickResponseC2 は、攻撃者と標的のマシン間で、中間的な HTTP/S サーバーを介して間接的かつ秘密裏に通信することを可能にする、ステルス性の高い Command and Control (C2) フレームワークです。QR コードを介したコマンド実行と結果取得を可能にし、IPS/IDS システムに検知されにくくします。このツールには、標的マシンがコマンド QR コードを取得し、結果を QR コード画像としてサーバーに送り返すための内蔵 HTTP サーバーが含まれています。QuickResponseC2 は、セキュリティ防御を警戒させることなく、標的マシンと対話するための隠密な方法を提供し、レーダーに引っかからないように動作します。このツールは、セキュリティ評価や、検知されることなくコマンド・アンド・コントロール手法をテストするのに最適です。ユーザーフレンドリーなコマンドラインインターフェースを備えており、ユーザーは C2 サーバーをセットアップし、コマンドを送信し、結果を簡単に受信できます。このツールは、すべての QR コードを server_files ディレクトリに、連番ファイル名で自動的に保存します。結果ファイルのデコードと処理はシームレスに処理されます。QuickResponseC2 を使用するには、まず依存関係をインストールし、次に main.py ファイルを実行する必要があります。このツールはデモンストレーションとワークフローの概要を提供し、QuickResponseC2 の使用に必要な手順を概説しています。開発者は、ツールの改善のための貢献とプルリクエストを歓迎しています。

QuickResponseC2 - A Command & Control Server That Leverages QR Codes To Send Commands And Receive Results From Remote Systems kitploit.com

RSS Hunter • 2025年4月12日

Telegram-Scraper - Telethonライブラリを使用してTelegramチャンネルからメッセージやメディアをスクレイピングできる強力なPythonスクリプト

Telegram-Scraperは、Telethonライブラリを使用してTelegramチャンネルからメッセージやメディアをスクレイピングすることができる強力なPythonスクリプトです。リアルタイムの連続スクレイピング、メディアのダウンロード、データのエクスポート機能を備えています。スクリプトを使用するには、Python 3.7以上、Telegramアカウント、Telegramから取得したAPIクレデンシャルが必要です。スクリプトは複数のチャンネルからメッセージをスクレイピングし、メディアファイルをダウンロードし、データをJSONとCSV形式でエクスポートできます。また、再開機能、メディアの再処理、進捗状況の追跡機能も備えています。スクリプトはインタラクティブなメニューアイテムを使用し、データはSQLiteデータベースに保存されます。メディアファイルは別のフォルダーに保存され、データはCSVとJSON形式でエクスポートできます。スクリプトには連続スクレイピング、メディア処理、エラー処理などの機能がありますが、Telegramのレート制限やメディアダウンロードサイズ制限を尊重するなどの制限もあります。プロジェクトへの貢献は歓迎されており、MITライセンスでライセンスされています。このツールは教育目的のみであり、ユーザーはTelegramのサービス利用規約を尊重し、責任を持って倫理的に使用する必要があります。

Telegram-Scraper - A Powerful Python Script That Allows You To Scrape Messages And Media From Telegram Channels Using The Telethon Library kitploit.com

RSS Hunter • 2025年4月11日

ムクタル - アンドロイド・リモート・アドミニストレーション・ツール

Mouktharは、Androidデバイスのリモート管理ツールであり、デバイスの監視と制御のための様々な機能を提供します。ツールは、Android 12以下でパーミッションをバイパスし、キーロガー、通知リスナー、SMSリスナー、電話録音、画像キャプチャー、ビデオ録画機能を含みます。また、パースィステンス機能により、デバイスの再起動後もアクティブ状態を維持できます。ツールは、連絡先の読み取りと書き込み、インストールされたアプリケーションのリスト、ファイルのダウンロードとアップロード、デバイスの位置情報の取得も可能です。Mouktharをインストールするには、リポジトリをクローンし、必要な依存関係をインストールし、データベースとWebソケットサーバーを設定する必要があります。ツールには、ログの閲覧とデバイスの制御のためのダッシュボードが含まれています。ただし、ツールには既知の問題があり、スクリーンショットのキャプチャー、フォーカス外での画像とビデオのキャプチャー、DownloadManagerを使用したファイルのダウンロードなどがあります。開発者はこれらの問題を認識しており、将来的にはこれらの問題を解消する予定です。Mouktharは、GitHubでダウンロード可能です。

Moukthar - Android Remote Administration Tool kitploit.com

RSS Hunter • 2025年4月10日

ロボ・グアラ - サイバー・スレット・インテリジェンス・プラットフォーム

Lobo Guaráは、サイバーセキュリティプラットフォームであり、サイバーセキュリティインテリジェンス（CTI）ツールを提供しています。SSL証明書の検索と監視、脅威の特定を可能にする機能を備えています。攻撃者デバイス情報を収集するためのトラッキングリンク機能もあります。ドメインとURLスキャンでは、WHOIS情報、サブドメイン、ウェブパスなどの詳細を提供します。URLスキャンでは、マルウェアサイトのシャットダウンに役立つスクリーンショットやミラーリングを生成し、URLモニタリングでは、URLの再アクティブ化時に自動スキャンを行います。また、Lobo Guaráは、ハッカーのフォーラムからのデータリークも監視し、侵害された資格情報を検索することができます。脅威インテリジェンスフィードでは、最新の脅威についてユーザーを通知します。UbuntuとRed Hatでのインストールがサポートされており、Dockerデプロイメントも利用可能です。依存関係には、PostgreSQL、Python 3.12、ChromeDriver、Google Chrome、FFUF、Subfinderなどが含まれます。オンラインプラットフォームは、https://loboguara.olivsec.com.br/でアクセス可能です。

Lobo Guará - Cyber Threat Intelligence Platform kitploit.com

RSS Hunter • 2025年4月9日

Telegram-Story-Scraper - Telegramの友達のストーリーを自動的にスクレイピングしてダウンロードできるPythonスクリプト

このPythonスクリプトは、Telethonライブラリを使用して、Telegramの友達のストーリーをダウンロードします。 Telegram APIの制限により、ストーリーの閲覧を許可している友達のストーリーのみにアクセスします。スクリプトは写真とビデオをダウンロードし、SQLiteデータベースにメタデータを保存して、Excelにエクスポートします。継続的に実行され、新しいストーリーをカスタマイズ可能な間隔（デフォルトは60秒）でチェックします。必要な前提条件は、Python 3.7以降、Telethon、openpyxl、schedule、およびTelegram APIの認証情報です。ユーザーは、TelegramのAPI開発ツールからAPI IDとハッシュを取得する必要があります。スクリプトはTelegramに接続し、新しいストーリーをチェックし、メディアをダウンロードして、データを保存します。エラーを処理し、失敗したダウンロードを再試行し、実行間で状態を保持します。メディアファイルは一意のファイル名で保存され、スクリプトはMITライセンスの下でライセンスされています。このスクリプトは教育目的であり、ユーザーはTelegramの利用規約とユーザーのプライバシーを尊重する必要があります。貢献を歓迎します。

Telegram-Story-Scraper - A Python Script That Allows You To Automatically Scrape And Download Stories From Your Telegram Friends kitploit.com

RSS Hunter • 2025年4月8日

gitGRAB - このツールはGitHub APIと連携し、特定のユーザーの詳細、リポジトリ情報、指定されたユーザーのコミットメールアドレスを取得するように設計されています。

このツールは、GitHub APIと連携し、特定のユーザーの詳細、リポジトリ情報、および指定されたユーザーのコミットメールアドレスを取得するように設計されています。インストール: pip install requests 実行: python3 gitgrab.py gitGRABをダウンロード

gitGRAB - This Tool Is Designed To Interact With The GitHub API And Retrieve Specific User Details, Repository Information, And Commit Emails For A Given User kitploit.com

RSS Hunter • 2025年4月7日

Snoop - ユーザー名によるソーシャルメディアアカウントの調査ためのOSINTツール

ユーザー名によるソーシャルメディアアカウントの調査のためのOSINTツールインストール要求 '''インストールリクエスト pipインストールリクエスト #### BeautifulSoupのインストール '''BeautifulSoup pip install beautifulsoup4 プログラムの実行 Snoop python3 snoop.py を実行します Snoopをダウンロード

Snoop - OSINT Tool For Research Social Media Accounts By Username kitploit.com

RSS Hunter • 2025年4月6日

Lazywarden - 自動Bitwardenバックアップ

Lazywardenは、Python自動化ツールで、Bitwardenのバウチャーからデータと添付ファイルを安全にバックアップおよび復元します。AES-256暗号化とArgon2キーの導出を使用して、最高のセキュリティを提供します。ツールはバックアップとインポートを自動化し、SHA-256ハッシュ検証を使用してデータの完全性を確保します。バックアップは、Dropbox、Google Driveなど、複数のクラウドサービスに保存でき、ローカルにも保存できます。Discord、Telegram、Slackなどのプラットフォームでリアルタイムのアラートを受け取ることができます。Lazywardenは、CalDAV、Todoist、Vikunjaなどのスケジュール管理ツールと統合して、シームレスな追跡とメール通知を提供します。ツールはDocker Composeで簡単にデプロイでき、完全な自動化とカスタムスケジューリングオプションが可能です。さらに、Lazywardenは、TOTPシード付きログインと添付ファイルを含むBitwardenアイテムをKeePassデータベースにエクスポートできます。Lazywardenの機能により、Bitwardenユーザー向けの包括的なバックアップおよびインポートシステムが提供されます。ツールはダウンロード可能で、Bitwardenデータの管理のための安全で自動化されたソリューションを提供します。

Lazywarden - Automatic Bitwarden Backup kitploit.com

RSS Hunter • 2025年4月5日

Docf-Sec-Check - Dockerfileコマンドのセキュリティ向上に役立つDockF-Sec-Check

DocF-Sec-Checkは、Dockerfileコマンドのセキュリティを強化するために設計されたツールです。Dockerfile自体とDockerイメージの両方において、様々なレベルでセキュリティに関する通知を提供することを目指しています。virtualenv、pipを使ったPyPI、Dockerfileからのビルド、DockerHubからの直接インストールが可能です。DockerfileまたはDockerHubから使用する場合は、スキャン対象のローカルDockerfileパスを指定する必要があります。このツールは、DocFCheckerクラスをインポートすることでPythonコードにも統合できます。貢献と開発の詳細については、CONTRIBUTING.mdファイルを参照してください。このプロジェクトはGPL-3.0ライセンスの下で公開されており、開発者へのサポートは寄付やGitHub Sponsorsを通じて歓迎されています。このツールは、Dockerfileにおける潜在的なセキュリティ脆弱性の特定と対処に役立ちます。Osman Kandemirによって開発・保守されています。

Docf-Sec-Check - DockF-Sec-Check Helps To Make Your Dockerfile Commands More Secure kitploit.com

RSS Hunter • 2025年4月4日

Secator - ペンテスターのスイスナイフ

Secatorは、セキュリティアセスメント向けのタスクとワークフローランナーで、数十の有名なセキュリティツールをサポートし、ペンテスターとセキュリティリサーチャーの生産性を向上させることを目的としています。 Secatorは、カーセレクトされたコマンドのリスト、統一された入力オプション、統一された出力スキーマ、CLIとライブラリの使用を特徴としています。また、Secatorは、Celeryを使用した分散オプションもサポートし、カスタマイズも可能です。このツールは、httpx、cariddi、gau、gospiderなど、多くのセキュリティツールと統合されています。Secatorは、pipx、pip、Bash、Docker、Docker Composeを使用してインストールできます。インストール後、外部ツールで使用される言語、例えばGoとRubyをインストールし、サポートされているツールをインストールまたは更新する必要があります。さらに、Secatorは、Celeryワーカーサポート、Google Driveエクスポーター、MongoDBドライバーなど、多くのアドオンも提供しています。正しいインストールを確認するために、ユーザーは、secator healthコマンドを使用してインストールのヘルスチェックを行うことができます。 Secatorは、fuzzingタスク、URLクロールワークフロー、ホストスキャンの実行など、多くの使用例を提供します。ユーザーは、secator x --help、secator w --help、secator s --helpコマンドを使用して、すべての利用可能なタスク、ワークフロー、スキャンを一覧表示することもできます。詳細な情報については、完全なドキュメント、Getting Startedチュートリアルビデオ、Mediumの投稿を参照してください。

Secator - The Pentester'S Swiss Knife kitploit.com

RSS Hunter • 2024年9月22日

Damn-Vulnerable-Drone - ArduPilot/MAVLinkアーキテクチャーに基づく、故意的に脆弱なドローン・ハッキング・シミュレーター。ハンズオンのドローン・ハッキングのための現実的な環境を提供します。

Damn Vulnerable Droneは、攻撃的なセキュリティプロフェッショナルがドローンのハッキング技術を安全に学び、練習するための仮想シミュレーション環境です。この環境は、実世界のArduPilot & MAVLinkドローン・アーキテクチャーと脆弱性をシミュレーションし、ドローン・システムのエクスプロイトのためのハンズオン・エクスペリエンスを提供します。Damn Vulnerable Droneは、制御された環境で攻撃的なセキュリティスキルを向上させることを目的としており、中級レベルのセキュリティプロフェッショナル、ペンテスター、ハッキング・エンスージアストにとって非常に価値のあるツールです。このプラットフォームはオープンソースで無料で提供されており、ドローンのハードウェア、ハッキング・ツール、メンテナンスにかかる高額な費用を解消します。Damn Vulnerable Droneは、ソフトウェア・イン・ザ・ループ（SITL）の原則に基づいて運営し、ドローンのソフトウェアが実際のドローン上で実行されているかのようにシミュレーションします。このシミュレーションは、Gazeboというダイナミック3Dロボティクス・シミュレーターの導入でさらに強化され、ドローンが現実的な環境と物理エンジンで相互作用するシミュレーションを提供します。Damn Vulnerable Droneの設定は、すべてのドローン・アーキテクチャーや構成を反映しないが、組み込まれた戦術、技術、シナリオは、多くのドローン・システム、モデル、通信プロトコルに対して広く適用可能です。Damn Vulnerable Droneは、Dockerベースの環境、シミュレーションされた無線ネットワーク、オンボード・カメラのストリーミングとジンバル、コンパニオン・コンピューターのウェブ・インターフェース、QGroundControl/MAVProxyの統合、MAVLinkルーターの統合、ダイナミック・フライト・ログ、管理ウェブ・コンソール、包括的なハッキング・シナリオ、詳細なウォークスルーを特徴としています。

Damn-Vulnerable-Drone - An Intentionally Vulnerable Drone Hacking Simulator Based On The Popular ArduPilot/MAVLink Architecture, Providing A Realistic Environment For Hands-On Drone Hacking kitploit.com

RSS Hunter • 2024年9月21日

File-Unpumper - PE ファイルから無駄なもの（ファイル・パンパーが追加するもの）を切り落とすことができるツール

File-unpumperは、Portable Executableファイルのクリーニングと分析のための強力なコマンドラインユーティリティです。このツールは、開発者とセキュリティプロフェッショナルがPEファイルとより効果的に作業できるように、多くの機能を提供します。File-unpumperは、PEヘッダーを修復し、埋め込みリソースを抽出し、メタデータを分析します。このツールはまた、PEファイルから「pumped」またはパッドされたデータを削除し、実行可能ファイルのクリーン版を生成します。この機能は、マルウェア分析、逆コンパイル、ファイルサイズの削減にとても有用です。File-unpumperは、Rustで書かれており、Cargoパッケージマネージャーを使用して簡単にインストールできます。このツールは、ヘッダーを修復し、リソースを抽出し、メタデータを分析するための多くのオプションを提供します。ユーザーはこれらのオプションを組み合わせて、ファイルに対して複数の操作を実行できます。File-unpumperへの貢献は歓迎されており、このツールはMIT Licenseの下でリリースされています。

File-Unpumper - Tool That Can Be Used To Trim Useless Things From A PE File Such As The Things A File Pumper Would Add kitploit.com

RSS Hunter • 2024年9月20日

マスアサインャー - HTTPリクエストのJSONフィールド変更を通じてマスアサインメント脆弱性を探すためのシンプルなツールです。

マスアサインツール（Mass Assigner）は、指定されたリクエストからデータを取得し、抽出されたパラメータを2番目のリクエストに適用することで、Webアプリケーションのマスアサイン脆弱性を特定するツールです。 HTTPメソッドのカスタマイズ、カスタムヘッダーの追加、レート制限をサポートしています。マスアサインツールは、実行中に指定されたパラメータを無視し、JSONデータのネストされた配列/オブジェクトをサポートしています。インストールには、pip3を使用して要件をインストールする必要があります。引数には、--fetch-from、--target-req、--header、--proxy、--data、--rate-limit、--source-method、--target-method、--ignore-paramsが含まれます。使用例では、パラメータを設定し、カスタムヘッダー、プロキシ、データを指定する方法を示しています。マスアサインツールは、サーバ側のデータをアクティブに変更するため、使用前に認証が必要です。未認証または違法行為は、ユーザーの責任となります。将来の計画には、追加のコンテンツタイプのサポートが含まれます。 Webアプリケーションのセキュリティテストを強化するために、Mass Assignerをダウンロードしてください。

Mass-Assigner - Simple Tool Made To Probe For Mass Assignment Vulnerability Through JSON Field Modification In HTTP Requests kitploit.com

RSS Hunter • 2024年9月19日

Imperius - Linuxカーネルルートキットを再び可視化する

LKMルートキットを可視化するツールが、進行中の研究の一環として開発中です。このツールは、ルートキットの可視化関数のメモリアドレスを取得し、それを呼び出してルートキットを公開し、削除を可能にします。必要なアドレス情報を持たないカーネルの場合、ツールはカーネルメモリをスキャンしてルートキットを検出して公開します。さらに、LKMルートキットを削除するための別の方法が開発中ですが、将来の研究で発表される予定です。

Imperius - Make An Linux Kernel Rootkit Visible Again kitploit.com

RSS Hunter • 2024年9月18日

BYOSI - EDRがフックするAPIに一切触れないというシンプルな方法でEDRを回避する

EDR（エンドポイント検出および対応）ソリューションは、バイナリインプラントに焦点を当ててスクリプトファイルを見落としていることが多い。これにより、攻撃者に機会が与えられる。BYOSI（Bring Your Own Scripting Interpreter）は、署名付きのスクリプトインタープリターを利用してEDRの検知を回避することで、この欠陥を利用する。作成者によって署名されたPHPスクリプトは、CrowdStrikeやTrellixで保護されたシステムで実行されてもアラートをトリガーしない。スクリプトはPHPアーカイブを取得して展開し、ホワイトリストに登録されたPHPバイナリを使用してインプラントを実行する。この方法により、EDRの検知を回避し、攻撃者はターゲットシステムにアクティブシェルを確立できる。PowerShellスクリプトも、わずか4行のコードでEDRの検知を回避できる。GitHubの信頼されたデプロイステータスは、この攻撃の効果をさらに高める。スクリプトは、EDRソリューションがスクリプトファイル攻撃に対して脆弱であることを示している。著者は、この技術の誤用について責任を負わないことを強調しながら、EDR保護における重要な盲点としてこの問題を指摘している。Microsoft Defenderによる検知を回避するために、PHPスクリプトの変更が必要になる可能性がある。Sentinel Oneも、この攻撃に対して脆弱である可能性がある。Sentinel Oneは、PHPファイルタイプをスキャンできないと報告されているからである。

BYOSI - Evade EDR's The Simple Way, By Not Touching Any Of The API's They Hook kitploit.com

RSS Hunter • 2024年9月17日

Psobf - PowerShell 難読化ツール

Psobfは、Go言語で作成されたツールで、PowerShellスクリプトを分析や検出を困難にするために、複雑化するものです。文字の単純な分割からスクリプトの断片化まで、5つの複雑化レベルを提供しています。各レベルは複雑さを追加し、レベル4では圧縮を使用し、レベル5では実行時に再構築するためにスクリプトを断片化します。変数名も複雑化されます。このツールは使用が簡単で、入力スクリプトファイル、出力ファイル名、望ましい複雑化レベルをコマンドライン引数として指定するだけで使用できます。各レベルについて、複雑化されたスクリプトの例が提供されており、元のスクリプトの変換を示しています。Psobfは、教育や研究目的でのみ使用することを目的として設計されており、悪意のある活動には使用しないでください。

Psobf - PowerShell Obfuscator kitploit.com

RSS Hunter • 2024年9月16日

ModTracer - ModTracerは隠れたLinuxカーネルルートキットを見つけ、再び可視化する

ModTracerは、隠れたLinuxカーネルルートキットを検出して、再び可視化します。LKMを可視化する別の方法は、Imperiusトリックを使用することです: https://github.com/MatheuZSecurity/Imperius ModTracerをダウンロード

ModTracer - ModTracer Finds Hidden Linux Kernel Rootkits And Then Make Visible Again kitploit.com

RSS Hunter • 2024年9月15日

DockerSpy - Docker Hub上のイメージを検索し、認証シークレット、プライベートキーなどの機密情報を抽出する。

DockerSpyは、コンテナイメージ内の公開されたシークレットをスキャンするツールです。Docker Hubは、開発者がコンテナイメージを保存および共有するためのリポジトリです。これらのイメージを分析することで、DockerSpyは認証シークレット、プライベートキーなどの機密情報を見つけることができます。これにより、組織は潜在的なセキュリティリスクを特定し、データ漏洩を防ぎ、全体的なセキュリティポストを強化することができます。DockerSpyは、正規表現を使用して、Dockerイメージのコンテンツを機密情報を含むかどうかを検査します。正規表現と無視するファイル拡張子を編集することで、特定のニーズに合わせてカスタマイズすることができます。DockerSpyは、教育および研究目的でのみ使用を意図しており、ユーザーは、使用が適用される法律および規制に準拠していることを確認する責任があります。DockerSpyを使用するには、リポジトリをクローンし、必要な依存関係をインストールし、ターミナルからツールを実行します。ツールはオープンソースであり、貢献は歓迎されています。DockerSpyは、コンテナ化されたアプリケーションのセキュリティを向上させたい組織にとって、貴重なツールです。公開されたシークレットを特定し、データ漏洩を防ぎ、セキュリティ基準への準拠を確保するのに役立ちます。

DockerSpy - DockerSpy Searches For Images On Docker Hub And Extracts Sensitive Information Such As Authentication Secrets, Private Keys, And More kitploit.com

RSS Hunter • 2024年9月14日

アショク - OSINT偵察ツール、別名スイスアーミーナイフ

アショクは、実際の攻撃前に情報を収集するペネトレーションテストの偵察段階に特化した高速な偵察ツールです。機能には、ウェイバッククローラーマシン、制限なしのGoogle Dorking、Github情報取得、サブドメイン識別子、およびカスタムヘッダー付きのCMS/テクノロジー検出機が含まれます。アショクを使用するには、リポジトリをクローンし、要件をインストールし、Wikiの詳細な使用ガイドを参照してください。主なオプションには、HTTPヘッダーの抽出、DNSおよびサブドメインの検索、CMSの検出、ポートのスキャンが含まれます。アショクは、軽量なDockerイメージを使用して起動することもできます。クレジットには、ツールの開発に貢献したhackertargetが含まれます。

Ashok - A OSINT Recon Tool, A.K.A Swiss Army Knife kitploit.com

RSS Hunter • 2024年6月26日

CloudBrute - すごいクラウド・エヌメレーター

CloudBruteは、Amazon、Google、Microsoft、DigitalOcean、Alibaba、Vultr、Linodeなどの主要なクラウドプロバイダーでストレージバケット、アプリ、データベースなどのクラウドインフラストラクチャを検出するツールです。認証が不要なブラックボックステストをサポートし、高速で並列化されたカスタマイズ可能な操作を提供します。ツールは、ユーザーエージェントのランダム化とプロキシサポートを備えており、制限を回避できます。CloudBruteは、IPINFO APIまたはソースコードを使用してクラウドプロバイダーを検出し、URL生成のための複数の環境をサポートします。ツールを設定するには、サポートされているプロバイダー、環境、APIキーなどのパラメーターを指定した設定ファイルを指定する必要があります。カスタマイズ可能なワードリストを使用して、誤検知を最小限に抑え、精度を向上させることができます。使用ガイドには、ツールの設定と実行方法に関する詳細な手順が記載されています。CloudBruteは、バグバウンティハンター、レッドチーム、ペネトレーションテスターが潜在的な脆弱性を特定するのを支援することを目的としています。ツールは、コミュニティからの貢献を受け入れて積極的に開発されています。CloudBruteを使用することで、ユーザーはクラウドインフラストラクチャの調査を効率化し、セキュリティテストの効果を向上させることができます。

CloudBrute - Awesome Cloud Enumerator kitploit.com

RSS Hunter • 2024年6月25日

Hfinger - HTTPリクエストのフィンガープリント

Hfingerは、Python3で動作するツールで、HTTPリクエストからマルウェアを特定するための、人間が読みやすい一意のフィンガープリントを生成します。Tsharkをベースに、HfingerはHTTPリクエストからメソッド、プロトコルバージョン、ヘッダーの順序、ペイロードの特性、特定のヘッダーの値などの特徴を抽出し、これらの特徴をエンコードして連結してフィンガープリントを形成します。異なるレポートモードでは、詳細度と衝突抵抗性のバランスが異なります。Hfingerの強みは、リクエストがわずかに異なっていてもマルウェアファミリーを特定できることです。これにより、手動分析、サンドボックスシステム、SIEMシステムで有用です。インストールにはPython 3.3以上とTshark 2.2.0以上が必要です。Hfingerは、コマンドラインユーティリティとしてもPythonモジュールとしても使用できます。フィンガープリントは、リクエストURI、ヘッダーの構造、ペイロードを分析して生成され、各特徴は事前に定義されたスキームに従ってエンコードされます。5つのレポートモードにより、ユーザーはフィンガープリントの特徴表現を調整できます。デフォルトモード（2）は、情報の豊富さと一意性のバランスが取れていますが、他のモードは衝突の最小化やエントロピーの最大化を優先します。Hfingerは、非標準のリクエスト要素を特定するための詳細なログ出力を提供し、より深い分析と異常検知を支援します。

Hfinger - Fingerprinting HTTP Requests kitploit.com

RSS Hunter • 2024年6月24日