神兵利器 | 红队打点单兵Tools(附下载)

admin 2022年6月21日00:50:40评论99 views字数 1729阅读5分45秒阅读模式

项目地址

https://github.com/yaklang/yakit

1. YAK语言简介

YAK是国际上首个致力于网络安全底层能力融合的垂直开发语言,提供了非常强大的安全能力。Yak是绝大部分 “数据描述语言 / 容器语言” 的超集,具备Go所有能力与库生态,VSCode插件等,语法可自定义,是图灵完备的脚本语言,完全国产。通过函数提供各类底层安全能力,包括端口扫描、指纹识别、poc框架、shell管理、MITM劫持、强大的插件系统等。

2. YAKIT单兵工具简介

Yakit是基于yak语言开发的网络安全单兵工具,旨在打造一个覆盖渗透测试全流程的网络安全工具库。

受限于Yak使用形式,用户必须学习 Yak 语言并同时具备对安全的一定理解。为了让 Yak 本身的安全能力更容易被大家接受和使用,我们为Yak编写了gRPC服务器,并使用这个服务器构建了一个客户端:Yakit,通过界面化GUI的形式,降低大家使用Yak的门槛。

2.1 Burpsuite 的年轻中国挑战者

Burpsuite几乎成为全球WEB安全从业者必装的安全测试工具,然而近年来竟然没有一个可替代的解决方案。破解版被投毒风险高、商业版太贵、插件难写、依赖java等等问题逐渐显露。我们团队基于yak顺手实现了BurpSuite的核心功能,期望给所有的从业者一个新的选择。完全替代并不是我们终极目标,替代并超越,切实降低门槛,提升从业者工作效率,才是我们的追求。

当前,我们已经实现了BurpSuit常用的功能,包括拦截并修改请求/返回报文、history模块、repeater模块、intruder模块,并且在我们的fuzz模块中创新性的实现了GUI标签fuzz,具备更好的可扩展性。

HTTP History

神兵利器 | 红队打点单兵Tools(附下载)

WEB Fuzzer:

神兵利器 | 红队打点单兵Tools(附下载)

被动漏洞检测系统:

神兵利器 | 红队打点单兵Tools(附下载)

2.2 Poc/Exp超集

在实战安全测试过程中,我们经常面临一个需求,即已知对方使用了weblogic/struts2等,需要一键检测是否存在指定漏洞,然而这么简单的需求我们当下却要打开各种专用工具不停切换,甚至为了安装某个工具而不得不切换Windows/Linux,或者安装一堆复杂的依赖。在yakit上,我们将致力于提供一站式的解决方案,您只需要输入目标,点击开始检测按钮,即可快速得到结果。

神兵利器 | 红队打点单兵Tools(附下载)

为了快速提升poc的检测能力,我们在yak语言中原生集成了nuclei(MIT协议),当然,在插件模块中,你可以基于yak/yaml编写各种你想要的检测能力,并将插件快速展示到左侧菜单栏中。

下载地址:https://github.com/yaklang/yakit



原文始发于微信公众号(渗透Xiao白帽):神兵利器 | 红队打点单兵Tools(附下载)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月21日00:50:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   神兵利器 | 红队打点单兵Tools(附下载)http://cn-sec.com/archives/1131047.html

发表评论

匿名网友 填写信息