文章总结： 这篇文章测评了一个名为React2Shell-Toolbox的安全工具，该工具支持POC验证、批量验证和高级功能。工具基于Vue3和Electron开发，支持FOFAAPI进行批量验证。作者认为工具功能强大但某些功能设计存在问题，并警告读者不要自行下载使用。文章提供了工具的核心功能操作指南和底层技术栈解析，但作者对工具的设计理念表示质疑。 综合评分： 76 文章分类： 渗透测试,漏洞分析,安全工具,WEB安全,漏洞POC

【吃瓜】测评核弹洞一键“挂黑”的React2Shell-Toolbox

原创

芝蚝评

表哥带我

2025年12月18日 21:29 广东

| | | | | | — | — | — | — | | “表哥带我”小编查证后编稿，仅供吃瓜，切勿自行下载文中“工具”使用，违者后果自负 | | | |

本文部分源由自网友供图

在网友百般逼问下，这个“狗”头像的网友供出了下载地址

很让人怀疑是不是喜欢甩锅的印度佬写的

AI翻译之后是

一、核心功能操作指南

1. POC验证

• 输入目标网址和命令
• 点击“执行检测”
• 查看检测结果和命令输出
• 切换到“虚拟终端”进行交互

2. 批量验证

• 在设置中配置 FOFA API（获取凭据）
• 输入 FOFA 搜索查询（例如app=”Apache-Tomcat”）
• 加载统计信息并选择筛选条件
• 查看资产列表（即将发布）

3. 高级功能（要求之星解锁）

• 转到“设置 → 高级功能”
• 点击“使用 GitHub 进行授权”
• 浏览器中完成完整的 GitHub 授权
• 访问 GitHub 项目页面并点击 ⭐ Star
• 返回应用并点击“重验证”以解锁
• 访问POC劫持、批量劫持及其他高级功能

二、底层科技栈解析

1. 前端技术栈

• Framework 框架: Vue 3（组合API）
• UI Library 用户界面库: Vuetify 3（材料设计）
• Router 路由器: Vue Router 4
• State Management 状态管理: 皮尼亚
• 代码编辑器: 摩纳哥编辑器
• Terminal 终端: xterm.js + xterm-addon-fit

2. 后端技术栈

• Runtime 运行环境: Electron 39 + Node.js 18+
• Build Tools 构建工具: 电子验证 + 电子生成器
• HTTP 客户端: Axios + Node Fetch
• Proxy Support 代理支持: https-proxy-agent + sock-proxy-agent
• Markdown 渲染: 标记 + follow.js

#

居然支持fofa批量验证

人才，确实人才

网友供图，该工具甚至支持一键“友情检测”

不过今天测评时，该功能疑似在更新的版本中“关闭”了

测评了一下，工具写得确实牛逼，就是某些功能属实难评

很怀疑作者的精神状态

介于有脑和无脑之间，难评Plus

| | | | | | — | — | — | — | | 有兴趣的小伙伴可以自行研究： aHR0cHM6Ly9naXRodWIuY29tL01vTGVmdC9SZWFjdDJTaGVsbC1Ub29sYm94 | | | |

扫码关注我们

微信公众号：表哥带我

供稿：芝蚝评

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 芝蚝评《【吃瓜】测评核弹洞一键“挂黑”的React2Shell-Toolbox》