我的star列表，每天自动更新

记录2025hvvpoc

自动抓取微信公众号安全漏洞文章，转换为Markdown格式并建立本地知识库，每日持续更新。本项目基于 [原版wxvl](https://github.com/20142995/wxvl) 进行扩展。

一款内网综合扫描工具，方便一键自动化、全方位漏扫扫描。

wy876的备份

记录一些代码审计过的源码

xxl-job内存马

A list for Web Security and Code Audit

漏洞报告已脱敏

[漏洞复现] 全球首款利用PHP默认环境的CVE-2024-4577 PHP-CGI RCE 漏洞 EXP，共享原创EXP，支持SSRF，支持绕过WAF。The world's first CVE-2024-4577 PHP-CGI RCE exploit utilizing the default PHP environment. Sharing original exploit, sup…

ARL官方仓库备份项目+指纹添加工具：ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

ARL官方仓库备份项目：ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统文档

人人都能用英语

少而精的常用字典，积累各种场景实现字典进化，只追求更简单更有效，不建议star，但建议pr。

FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本)，主要包括JNDI注入及高版本绕过、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。从黑盒的角度覆盖FastJson深入利用

TCP IP伪造,建议使用 ubuntu 22.04

Extract website information from Vue

Cloud Exploitation Framework 云环境利用框架，方便安全人员在获得 AK 的后续工作

Weblogic CVE-2023-21839 / CVE-2023-21931 / CVE-2023-21979 一键检测

安卓系统定制，用于安卓逆向，目前功能有防root检测、支持直接替换修改系统文件、一定程度防vpn检测、 一定程度防aosp检测、WebView强制可调试、Frida持久化、脱整体加固壳、脱抽取加固壳、追踪函数调用和smali trace。

手机号码归属地信息库、手机号归属地查询 phone.dat 最后更新：2023年02月

微信客户端取证，可获取用户个人信息(昵称/账号/手机/邮箱/数据库密钥(用来解密聊天记录))；支持获取多用户信息，不定期更新新版本偏移，目前支持所有新版本、正式版本

a rep for documenting my study, may be from 0 to 0.1

渗透测试常规操作记录

A proxy tool based on cloud function.