文章总结: 本文介绍了基于Wails和Vue3开发的开源安全测试工具Onyx,旨在解决渗透测试中工具分散的痛点。该平台集成了空间测绘、Nuclei漏洞扫描、Fscan结果解析、微信小程序反编译及FinalShell解密等核心功能,提供一站式桌面端解决方案,能有效提升红队作业效率。 综合评分: 80 文章分类: 安全工具,产品介绍,渗透测试,红队,逆向分析
告别散装工具!Onyx:集Fscan解析、FinalShell解密、小程序逆向于一体的桌面端神器
原创
Wraink Wraink
泷羽Sec-Norsea
2026年1月16日 22:27 江苏
在日常的渗透测试和红队攻防中,大家应该都有一个痛点:工具太碎了。
信息收集要开Fofa、Hunter网页,漏洞扫描要挂Xray或Nuclei,遇到小程序反编译要切到脚本目录,解密FinalShell密码又要去找专门的工具……
桌面窗口切来切去,不仅效率低,心也很累。
今天给师傅们推荐一款名为 Onyx 的开源安全测试工具集。
它基于 Wails v2 + Vue 3 开发,颜值高、跨平台,主打的就是一个“一站式”,把我们常用的功能都整合到了一个桌面上。
工具地址见文末
🛠️ 项目简介
Onyx 是一款现代化的安全测试工具箱。作者的设计初衷就是为了解决“到处切换工具”的麻烦。
它集成了空间测绘、漏洞扫描、主机探测、信息收集、应用解密等核心能力,底层使用 Go 语言(Wails),前端使用` Vue 3,保证了性能的同时,UI 界面也非常整洁舒适。
| 模块 | 说明 |
| — | — |
| 空间测绘 | 集成 Fofa、Hunter、Quake 三大测绘引擎,支持批量资产导出 |
| 漏洞扫描 | 基于 Nuclei 引擎,支持 POC 管理、批量扫描、请求包可视化、一键生成验证图片 |
| 辅助工具 | 内置 CyberChef、JWT 密钥爆破、编码转换、Fscan 结果处理、攻防批量截图 |
| 应用加解密 | 提供 FinalShell、Navicat、蓝凌、致远、帆软、Druid、JBoss 等常见应用/中间件的加解密工具 |
| 小程序分析 | 支持微信小程序自动识别、反编译 (.wxapkg)、敏感信息正则提取 |
| 企业信息 | 支持 IP 归属地查询、ICP 备案信息查询、企业与股权结构分析 |
| 信息探测 | 包含端口扫描、杀软识别、指纹识别、敏感信息采集 (JS 分析) |
🔥 核心功能亮点
快速启动工具箱
空间测绘
支持多种网络空间测绘引擎
漏洞扫描
- Nuclei – POC兼容Nuclei模板格式
- POC 编辑器 – Monaco 编辑器,支持语法高亮
- 请求重放 – 支持自定义 HTTP 请求
漏洞管理:
自定义POC:
信息搜集
- 通过域名查询相关企业信息
- 股权结构分析
- 资产收集与关联分析
攻防赋能
FScan 结果处理
自动解析和格式化 FScan 扫描结果
泄漏利用
微信利用
支持公众号、小程序、企业微信的 AK、SK 利用
微信小程序
- 自动扫描 – 自动扫描微信小程序
- 小程序反编译 – 微信小程序反编译与代码分析
- 小程序敏感信息搜集 – 自动提取小程序中的敏感信息
- 自定义正则表达式 – 支持自定义正则表达式进行信息匹配
工具地址:https://github.com/Mstce/Onyx
学习交流群
刚加入网络安全行业的小白,可以加入学习交流群,大家一起互相学习,互相进步,不会的难题大家一起学习,一起攻克。
想要进学习交流群的师傅们,可以扫描下方二维码添加好友,我再拉你进群(Ps:防止广告进群)。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:泷羽Sec-Norsea Wraink Wraink《告别散装工具!Onyx:集Fscan解析、FinalShell解密、小程序逆向于一体的桌面端神器》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论