一款专注于 Java 主流 Web 中间件的内存马快速生成工具，致力于简化安全研究人员和红队成员的工作流程，提升攻防效率

基于SSM的图书馆管理系统。主要功能包括：图书查询、图书管理、图书编辑、读者管理、图书的借阅与归还以及借还日志记录等。

xia SQL (瞎注) burp 插件 ，在每个参数后面填加一个单引号，两个单引号，一个简单的判断注入小插件。

A malicious LDAP server for JNDI injection attacks

将安卓远控Apk附加进普通的App中，运行新生成的App时，普通App正常运行，远控正常上线。Attach the Android remote control APK to a regular app. When the newly generated app is launched, the regular app operates as normal while the remote …

一个想让你测试加密流量像测试明文一样简单高效的 Burp 插件。 A Burp plugin that makes testing encrypted traffic as simple and efficient as testing plaintext.

通过jsp脚本扫描java web Filter/Servlet型内存马

仓库管理系统

🔨 基于SpringBoot的CMS/DMS/管理系统开发框架

Memshell-攻防内存马研究

A third-party Xposed framework implementation which supports Android 5.0~14.

80+ Gadgets(30 More than ysoserial). JNDI-Injection-Exploit-Plus is a tool for generating workable JNDI links and provide background services by starting RMI server,LDAP server and HTTP server.

An android Dex protection shell implementation

CVE-2021-44228 Log4j2 BurpSuite Scanner,Customize ceye.io api or other apis,including internal networks

搜集了市面上绝大部分weblogic解密方式，整理了7种解密weblogic的方法及响应工具。

Log4j2 RCE Passive Scanner plugin for BurpSuite

纯 Java 实现的 MySQL Fake Server | 支持 GUI 版和命令行版 | 支持反序列化和文件读取的利用方式 | 支持常见的 GADGET 和自定义 GADGET 数据 | 根据目标环境自动生成匹配的 PAYLOAD | 支持 PGSQL 和 DERBY 的利用

获取Android应用基本信息的工具集

一个半自动化springboot打点工具，内置目前springboot所有漏洞

ysoserial修改版，着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显。

spring boot Fat Jar 任意写文件漏洞到稳定 RCE 利用技巧

Java RMI enumeration and attack tool.

Burp插件，快速探测可能存在SQL注入的请求并标记，提高测试效率

a webshell resides in the memory of java web server

ROM逆向工具

（周瑜）Java - SpringBoot 持久化 WebShell（不仅仅是SpringBoot，适合任何符合JavaEE规范的服务）

给woodpecker框架量身定制的ysoserial

JNDI在java高版本的利用工具,FUZZ利用链

《深入JDBC安全：特殊URL构造与不出网反序列化利用技术揭秘》对应研究总结项目 "Deep Dive into JDBC Security: Special URL Construction and Non-Networked Deserialization Exploitation Techniques Revealed" - Research Summary Project

个人博客系统(Spring+Spring MVC+MyBatis )