文章总结： 本文档介绍了VulToolsKit，这是一个整合了100多款漏洞利用工具的红队资源合集，覆盖了海康威视、Nacos、Shiro、Spring、OA系统及云资产等多个领域。文章按类别详细列出了针对特定CVE漏洞的GitHub工具链接及功能描述，如反序列化利用、RCE和敏感信息提取。作者强调该工具库仅供安全测试与学习使用，旨在帮助安全人员快速定位漏洞资源并提升渗透测试效率。 综合评分： 63 文章分类： 红队,安全工具,漏洞POC,渗透测试

【红队武器库】100+款漏洞利用工具合集，从Shiro主流框架到云资产全覆盖

原创

0xSecDebug 0xSecDebug

0xSecDebug

2026年2月6日 14:02 中国香港

红队武器库VulToolsKit漏洞利用工具合集整理

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

项目地址在文章底部哦

海康威视Hikvision综合漏洞利用工具
大华Dahua综合漏洞利用工具
Nacos综合漏洞利用工具
Vcenter综合漏洞利用工具
Fastjson漏洞批量检测工具
Jenkins综合漏洞利用工具
Struts2全版本漏洞检测工具
Thinkphp综合漏洞利用工具
Spring综合漏洞利用工具
Shiro反序列化漏洞综合利用工具
若依RuoYi综合漏洞利用工具
Xxl-job漏洞利用工具
Jboss综合漏洞利用工具
Weblogic综合漏洞利用工具
Tomcat综合漏洞利用工具
帆软反序列化漏洞利用工具
云资产AK-SK利用管理工具
Confluence综合漏洞利用工具
数据库综合利用工具
DecryptTools综合加解密后渗透工具
互联网厂商API利用工具
OA综合漏洞利用工具
综合漏洞利用工具
Jeecg&Jeecg-boot框架漏洞利用工具
ActiveMqRCE漏洞利用工具
Geoserver漏洞利用工具
Jumpserver漏洞利用工具
禅道漏洞综合利用工具
Java漏洞利用工具
信息泄露利用工具
 Swagger API信息泄露利用工具
 Heapdump敏感信息提取工具
 .git泄漏利用工具
 SVN源代码利用工具
 .DS_Store文件泄露利用工具
 .cvs源代码泄露利用工具
 Webpack:安全检测的扫描工具

• 海康威视Hikvision综合漏洞利用工具

• MInggongK/Hikvision-: Hikvision综合漏洞利用工具 (github.com)

• charonlight/HikvisionExploitGUI: 海康威视漏洞综合利用工具(github.com)

• jorhelp/Ingram: 网络摄像头漏洞扫描工具 (github.com)

• Cuerz/CVE-2021-36260: 海康威视RCE漏洞 批量检测和利用工具 (github.com)

• chrisjd20/hikvision_CVE-2017-7921_auth_bypass_config_decryptor. (github.com)

• 大华Dahua综合漏洞利用工具

• MInggongK/dahuaExploitGUI: dahua综合漏洞利用工具 (github.com)

• mcw0/DahuaConsole: Dahua Console. (github.com)

• Nacos综合漏洞利用工具

• charonlight/NacosExploitGUI: Nacos漏洞综合利用GUI工具，集成了默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用 (github.com)

• Conan924/NacosExploit: NacosExploit 命令执行 内存马等利用 (github.com)

• h0ny/NacosExploit: Nacos 综合利用工具 (github.com)

• p1d3er/GitNacosConfig: 一键获取Nacos所有配置文件 (github.com)

• HACK-THE-WORLD/nacos-poc (github.com)

• Vcenter综合漏洞利用工具

• W01fh4cker/VcenterKit: Vcenter综合渗透利用工具包 | Vcenter Comprehensive Penetration and Exploitation Toolkit (github.com)

• Schira4396/VcenterKiller: 一款针对Vcenter的综合利用工具，包含目前最主流的CVE-2021-21972、CVE-2021-21985以及CVE-2021-22005、One Access的CVE-2022-22954、CVE-2022-22972/31656以及log4j，提供一键上传webshell，命令执行或者上传公钥使用SSH免密连接 (github.com)

• Fastjson漏洞批量检测工具

• c0ny1/FastjsonExploit: Fastjson vulnerability quickly exploits the framework（fastjson漏洞快速利用框架） (github.com)

• smallfox233/JsonExp: fastjson漏洞批量检测工具 (github.com)

• Jenkins综合漏洞利用工具

• TheBeastofwar/JenkinsExploit-GUI: 一款Jenkins的综合漏洞利用工具 (github.com)

• charonlight/JenkinsExploitGUI: Jenkins CLI 任意文件读取漏洞检查工具 (github.com)

• convisolabs/CVE-2024-43044-jenkins: Exploit for the vulnerability CVE-2024-43044 in Jenkins (github.com)

• Struts2全版本漏洞检测工具

• abc123info/Struts2VulsScanTools: 自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-037、DevMode、S2-045/046、S2-052、S2-048、S2-053、S2-057、S2-061、S2相关log4j2十余种漏洞。 (github.com)

• shack2/Struts2VulsTools: Struts2系列漏洞检查工具 (github.com)

• Thinkphp综合漏洞利用工具

• Lotus6/ThinkphpGUI: Thinkphp(GUI)漏洞利用工具，支持各版本TP漏洞检测，命令执行，getshell。 (github.com)

• bewhale/thinkphp_gui_tools: ThinkPHP漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含,宝塔绕过 (github.com)

• zangcc/Aazhen-RexHa: 漏洞POC基本适用ThinkPHP全版本漏洞。 (github.com)

• Spring综合漏洞利用工具

• charonlight/SpringExploitGUI: 一款Spring综合漏洞的利用工具，工具支持多个Spring相关漏洞的检测以及利用 (github.com)

• 0x727/SpringBootExploit: 项目是根据LandGrey/SpringBootVulExploit清单编写，目的hvv期间快速利用漏洞、降低漏洞利用门槛。 (github.com)

• SummerSec/SpringExploit: 🚀 一款为了学习go而诞生的漏洞利用工具 (github.com)

• savior-only/Spring_All_Reachable: Spring漏洞综合利用工具 (github.com)

• Shiro反序列化漏洞综合利用工具

• SummerSec/ShiroAttack2: shiro反序列化漏洞综合利用,包含（回显执行命令/注入内存马）修复原版中NoCC的问题 https://github.com/j1anFen/shiro_attack

• sma11new/Pyke-Shiro: 复杂请求下的Shiro反序列化利用工具 (github.com)

• altEr1125/ShiroAttack2: 一款针对Shiro550漏洞进行快速漏洞利用工具。 对 @SummerSec 大佬的项目https://github.com/SummerSec/ShiroAttack2 进行了一些改进。

• safe6Sec/ShiroExp: shiro综合利用工具 (github.com)

• wyzxxz/shiro_rce_tool: shiro 反序列 命令执行辅助检测工具 (github.com)

• feihong-cs/ShiroExploit-Deprecated: Shiro550/Shiro721 一键化利用工具，支持多种回显方式 (github.com)

• 若依RuoYi综合漏洞利用工具

• 若依漏洞综合利用工具 (qq.com)

• charonlight/RuoYiExploitGUI: 若依最新定时任务SQL注入可导致RCE漏洞的一键利用工具 (github.com)

• Xxl-job漏洞利用工具

• charonlight/xxl-jobExploitGUI: xxl-job最新漏洞利用工具 (github.com)

• Jboss综合漏洞利用工具

• https://mp.weixin.qq.com/s/O0sMwNHRZKn4G4uJC55YlQ

• https://github.com/fupinglee/JavaTools/tree/master/JBoss

• Weblogic综合漏洞利用工具

• KimJun1010/WeblogicTool: WeblogicTool，GUI漏洞利用工具，支持漏洞检测、命令执行、内存马注入、密码解密等（深信服深蓝实验室天威战队强力驱动） (github.com)

• Tomcat综合漏洞利用工具

• tpt11fb/AttackTomcat: Tomcat常见漏洞GUI利用工具。CVE-2017-12615 PUT文件上传漏洞、tomcat-pass-getshell 弱认证部署war包、弱口令爆破、CVE-2020-1938 Tomcat AJP文件读取/包含 (github.com)

• errors11/TomcatVuln: Tomcat漏洞利用工具 (github.com)

• 帆软反序列化漏洞利用工具

• 7wkajk/Frchannel: 帆软bi反序列化漏洞利用工具 (github.com)

• BambiZombie/FrchannelPlus: 帆软bi反序列化漏洞利用工具 (github.com)

• 云资产AK-SK利用管理工具

• dark-kingA/cloudTools: 云资产管理工具 目前工具定位是云安全相关工具，目前是两个模块 云存储工具、云服务工具， 云存储工具主要是针对oss存储、查看、删除、上传、下载、预览等等 云服务工具主要是针对rds、服务器的管理，查看、执行命令、接管等等 (github.com)

• jdr2021/OSSFileBrowse: 存储桶遍历漏洞利用工具 (github.com)

• CF 云环境利用框架使用手册 | T Wiki (teamssix.com)

• mrknow001/aliyun-accesskey-Tools: 阿里云accesskey利用工具 (github.com)

• Confluence综合漏洞利用工具

• Lotus6/ConfluenceMemshell: Confluence CVE 2021，2022，2023 利用工具，支持命令执行，哥斯拉，冰蝎 内存马注入 (github.com)

• 数据库综合利用工具

• SafeGroceryStore/MDUT: MDUT – Multiple Database Utilization Tools (github.com)

• team-ide/teamide: Team IDE 集成MySql、Oracle、金仓、达梦、神通等数据库、SSH、FTP、Redis、Zookeeper、Kafka、Elasticsearch、Mongodb、小工具等管理工具 (github.com)

• r0oth3x49/ghauri: An advanced cross-platform tool that automates the process of detecting and exploiting SQL injection security flaws (github.com)

• 攻防演练工具 | Oracle数据库getshell的另一种思路 – FreeBuf网络安全行业门户

• DeEpinGh0st/MDUT-Extend-Release: MDUT-Extend(扩展版本) (github.com)

• Release v1.0.7 · 1n7erface/Template (github.com)

• jas502n/oracleShell: oracle 数据库命令执行 (github.com)

• PostgreUtil数据库利用工具

• DecryptTools综合加解密后渗透工具

• wafinfo/DecryptTools: DecryptTools-综合解密 (github.com)

• 互联网厂商API利用工具

• pykiller/API-T00L: 互联网厂商API利用工具。 (github.com)

• mrknow001/API-Explorer: API接口管理工具(目前内置微信公众号、微信小程序、企业微信、飞书、钉钉等) (github.com)

• OA综合漏洞利用工具

• MInggongK/Penetration-mining-src: 一款集成了H3C,致远，泛微，万户，帆软，海康威视，金蝶云星空，畅捷通，Struts等多个RCE漏洞利用工具 (github.com)

• R4gd0ll/I-Wanna-Get-All: OA漏洞利用工具 (github.com)

• achuna33/MYExploit: OAExploit一款基于产品的一键扫描工具。 (github.com)

• 琴音安全红蓝对抗重点OA系统漏洞利用工具

• xiaokp7/TongdaOATool: 通达OA漏洞检测工具 (github.com)

• cseroad/Exp-Tools: 一款集成高危漏洞exp的实用性工具 (github.com)

• wgpsec/YongYouNcTool: 用友NC系列漏洞检测利用工具，支持一键检测、命令执行回显、文件落地、一键打入内存马、文件读取等 (github.com)

• Chave0v0/YONYOU-TOOL: 用友漏洞综合利用工具 (github.com)

• White-hua/Apt_t00ls: 高危漏洞利用工具 (github.com)

• ExpLangcn/HVVExploitApply: 遵守规章制度关闭项目-使用JAVAFX图形化界面检测对HVV中常见的重点CMS系统和OA系统的已公开的漏洞进行验证。 (github.com)

• lijiaxing1997/Gr33k: 图形化漏洞利用集成工具 (github.com)

• 综合漏洞利用工具

• pureqh/Hyacinth: 一款java漏洞集合工具 (github.com)

• qianxiao996/FrameScan-GUI: FrameScan-GUI 一款python3和Pyqt编写的具有图形化界面的cms漏洞检测框架。 (github.com)

• f0ng/poc2jar: Java编写，Python作为辅助依赖的漏洞验证、利用工具，添加了进程查找模块、编码模块、命令模块、常见漏洞利用GUI模块、shiro rememberMe解密模块，加快测试效率 (github.com)

• Liqunkit/LiqunKit_: 下架 (github.com)

• Jeecg&Jeecg-boot框架漏洞利用工具

• K-7H7l/Jeecg_Tools: 本工具为jeecg框架漏洞利用工具非jeecg-boot！ (github.com)

• MInggongK/jeecg-: jeecg综合漏洞利用工具 (github.com)

• ActiveMqRCE漏洞利用工具

• Hutt0n0/ActiveMqRCE: 用java实现构造openwire协议，利用activeMQ < 5.18.3 RCE 回显利用 内存马注入 (github.com)

• Geoserver漏洞利用工具

• GeoServer 综合漏洞扫描工具V1.2 发布！ (qq.com)

• Jumpserver漏洞利用工具

• tarihub/blackjump: JumpServer 堡垒机未授权综合漏洞利用, Exploit for CVE-2023-42442 / CVE-2023-42820 / RCE 2021 (github.com)

• 禅道漏洞综合利用工具

• charonlight/ZentaoExploitGUI: 禅道最新身份认证绕过漏洞利用工具 (github.com)

• Java漏洞利用工具

• welk1n/JNDI-Injection-Exploit: JNDI注入测试工具(github.com)

• qi4L/JYso: It can be either a JNDIExploit or a ysoserial. (github.com)

• cckuailong/JNDI-Injection-Exploit-Plus: 80+ Gadgets(30 More than ysoserial). 一款JNDI注入利用工具，可以生成JNDI链接并启动后端相关服务。. (github.com)

• frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

• Y4er/ysoserial: ysoserial修改版，着重修改ysoserial.payloads.util.Gadgets.createTemplatesImpl使其可以通过引入自定义class的形式来执行命令、内存马、反序列化回显。 (github.com)

• frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

• 信息泄露利用工具

• zangcc/Aakian-FaCai: 基于前端vue框架的JavaFx图形化GUI漏洞扫描工具。 (github.com)

• rtcatc/Packer-Fuzzer: Packer Fuzzer is a fast and efficient scanner for security detection of websites constructed by javascript module bundler such as Webpack. (github.com)

• kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG… (github.com)

• lijiejie/ds_store_exp: A .DS_Store file disclosure exploit. It parses .DS_Store file and downloads files recursively. (github.com)

• admintony/svnExploit: SvnExploit支持SVN源代码泄露全版本Dump源码 (github.com)

• BugScanTeam/GitHack: .git 泄漏利用工具，可还原历史版本 (github.com)

• wyzxxz/heapdump_tool: heapdump敏感信息查询工具，例如查找 spring heapdump中的密码明文，AK,SK等 (github.com)

• whwlsfb/JDumpSpider: HeapDump敏感信息提取工具 (github.com)

• jayus0821/swagger-hack: 自动化爬取并自动测试所有swagger接口 (github.com)

• lijiejie/swagger-exp: A Swagger API Exploit (github.com)

• Swagger API信息泄露利用工具

• Heapdump敏感信息提取工具

• .git泄漏利用工具

• SVN源代码利用工具

• .DS_Store文件泄露利用工具

• .cvs源代码泄露利用工具

• Webpack:安全检测的扫描工具

📖 项目地址

https://github.com/onewinner/VulToolsKit

💻 威胁情报推送群

  如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

 如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用：

    覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 0xSecDebug 0xSecDebug《【红队武器库】100+款漏洞利用工具合集，从Shiro主流框架到云资产全覆盖》