🚀 2024-至今 1Day 漏洞 PoC 深度研究与复现归档。涵盖 OA、ERP、安防、数通、大模型及容器等 高价值资产漏洞，实战导向，助力安全研究与合规检测。

evilwaf is a penetration testing tool designed to detect and bypass common Web Application Firewalls (WAFs).

拿来即用的Tomcat7/8/9/10版本Listener/Filter/Servlet内存马，支持注入CMD内存马和冰蝎内存马

一个极简且免费的微信消息推送服务

一款集成AI辅助分析功能的Windows日志安全分析工具

极简且免费的微信消息推送服务 (基于golang)

GodzillaNodeJsPayload

Exploit for CVE-2025-55182 & CVE-2025-66478

Fastjson + MySQL 条件下不出网利用测试环境

一些总结出来的gadget的flow，后续合适和加入新的flow

High Fidelity Detection Mechanism for RSC/Next.js RCE (CVE-2025-55182 & CVE-2025-66478)

Next.js-Exploit-Tool 图形化综合利用工具，基于 Go 开发，一款针对 CVE-2025-55182 的独立安全评估工具。

一个专注于 Java Web 特性、配置和 Trick 的安全谜题集合

Decrypt Xshell session file password.

一个自定义注入so的脚手架,现在已经支持了界面化使用。

java反序列化学习笔记

爬取菜鸟教程网站并转PDF__python_crawer_by_chrome

A collaborative, multi-platform, red teaming framework

在xxe中使用smb外带多行内容

IntelliJ IDEA plugin for static code analysis powered by Joern.

FastjsonScan4Burp 一款基于burp被动扫描的fastjson漏洞探测插件，可针对数据包中存在json的参数或请求体进行payload测试。旨在帮助安全人员更加便捷的发现、探测、深入利用fastjson漏洞，目前已实现fastjson探测、版本、依赖探测、出网及不出网利用和简易的bypass waf功能

ReVanced LSPosed module. YouTube & YT Music Remove ads, Background playback

离线IP Whois查询工具。可根据IP查询所属IP段信息、根据关键词查询IP段信息的MCP版本

Automatically block unwanted, leeches and abnormal BT peers with support for customized and cloud rules.| BT 反吸血工具 - 自动封禁不受欢迎、吸血和异常的 BT 客户端，并支持自定义规则。支持 qB/qBEE/Deluge/BiglyBT/BitComet

NOF0 - 开源的 AI 交易竞技场

软考达人 - 最新最全免费的软考题库。 高级：系统架构设计师、系统分析师、信息系统项目管理师、系统规划与管理师、网络规划设计师。 中级：软件设计师、网络工程师、系统集成项目管理工程师、数据库系统工程师、信息安全工程师、信息系统管理工程师、信息系统监理师、软件评测师、嵌入式系统设计师、电子商务设计师、多媒体应用设计师。 初级：信息系统运行管理员、信息处理技术员、网络管理员、程序员。

JSFindAPI是一款自动从html页面中获取js链接，并自动访问js提取js中的api路径，然后自动进行api未授权测试的插件，同时也可被动监听，当访问js时自动提取api进行访问，提取api接口主要根据AJAX，XMLHttpRequest，axios，Vue.js等各种api请求的写法去正则提取，准确性和数量都有提升