payloadify/payloadify
GitHub: payloadify/payloadify
面向渗透测试人员的纯客户端安全工具包,将 payload 生成、命令构建与漏洞评分等常用操作整合为零安装的浏览器应用。
Stars: 2 | Forks: 0
# Payloadify — 面向渗透测试人员的安全工具包
## Payloadify 是什么?
手动构建正确的 payload 或命令通常意味着要先翻阅 man 手册、`--help` 输出或分散的文档。Payloadify 跳过了这些步骤:只需点击几个选项,就能直接获得开箱即用的命令或 payload —— 把它想象成渗透测试人员、Bug Bounty 猎人、OSCP/CEH 学生以及红队成员的 iLovePDF,他们通过搜索引擎找到特定的工具,用完即走。
已上线:[payloadify.dev](https://payloadify.dev)。
## 功能
每个工具都位于其专属的 URL(例如 `/jwt-decoder`),而不是一个共享的空白画布应用。
- **JWT Decoder/Tamper** (`/jwt-decoder`) — 解码 header/payload,标记 `alg:none` 和弱签名,编辑 claims 并重新签名
- **Hash Identifier** (`/hash-identifier`) — 识别哈希的可能类型,提供排序后的候选列表以及匹配的 Hashcat 模式编号
- **Hash Generator** (`/hash-generator`) — 从文本生成 MD5、SHA-1、SHA-256、SHA-384、SHA-512 和 NTLM 哈希,通过标签页与 Identifier 联动
- **Payload Encoder** (`/payload-encoder`) / **Decoder** (`/payload-decoder`) — 链式组合 Base64、Hex、URL、HTML-entity 和 Unicode-escape 步骤,以构建或解包混淆的 payload
- **Homoglyph Identifier** (`/homoglyph-identifier`) — 检测可疑文本(例如欺骗性域名)中的 Unicode 同形字/易混淆字符
- **Homoglyph Generator** (`/homoglyph-generator`) — 生成同形字替换的形似字符串
- **XSS Payload Generator** (`/xss-generator`) — 构建从基础到高级 WAF-bypass 及编码技术的 XSS payload,适用于反射型/存储型或基于 DOM 的场景
- **SQLi Payload Generator** (`/sqli-generator`) — 构建 MySQL、MSSQL、PostgreSQL、Oracle 和 SQLite 的 SQL 注入 payload,支持链式信息提取、WAF-evasion 混淆和黑名单字符规避
- **Reverse Shell Generator** (`/reverse-shell-generator`) — 生成 Bash、Netcat、Python、PHP、Perl、Ruby、Socat、Awk、Telnet、Node.js、Lua、Golang 和 PowerShell 的 reverse shell 单行命令,并提供匹配的 listener 命令和另存为文件的选项
- **MSFVenom Command Generator** (`/msfvenom-generator`) — 构建 msfvenom 命令,提供针对 Windows、Linux、macOS 和 Android payload 的模板预设、evasion encoders 和架构,并附带 listener 设置指南
- **CVSS 3.1/4.0 Calculator** (`/cvss-calculator`) — 适用于两个 CVSS 版本的点击式 vector 构建器,包含漏洞模板、链式漏洞评分、OWASP 映射,以及可复制的 VRT 分数和参考链接
更多工具(JWT generator、子域名排列生成器、安全标头分析器、SPF/DKIM/DMARC 检查器)已在计划中 — 详见 [路线图](#roadmap)。
## 快速开始
### 在线使用(无需安装)
访问 [payloadify.dev](https://payloadify.dev) — 所有操作均在你的浏览器中运行。
### 自托管(本地)
```
git clone https://github.com/yourusername/payloadify.git
cd payloadify
npm install
npm run dev
```
打开 [http://localhost:3000](http://localhost:3000)。
其他脚本:
```
npm run build # static production build (outputs to /out)
npm run lint # eslint
npm run test # vitest
```
## 工作原理
所有工具**仅在客户端运行** — 你的数据永远不会离开你的浏览器。粘贴,生成,复制。就这么简单。没有数据库,没有账户,也没有登录。只有在完全不可避免的情况下才会使用后端(目前发布的工具均不需要)。
## 技术栈
- 前端:[Next.js](https://nextjs.org)(静态导出)、React、TypeScript
- 样式:Tailwind CSS
- 托管:Cloudflare Pages(免费套餐)
- 测试:Vitest
## 项目结构
```
app/ Route pages — one folder per tool URL (e.g. app/jwt-decoder/)
components/ UI, organized by tool (components/tools//) and shared/site chrome
lib/ Framework-free core logic per tool (encoding, hashing, generation, validation)
public/ Static assets (favicons, manifest)
scripts/ One-off data build scripts (not part of the app runtime)
```
## 安全性
- 客户端处理 — 无服务器,无数据收集
- 开源 — 你可以自己审计代码
- 无跟踪,无分析,无广告
- 符合规范的输出(RFC 7519、msfvenom 格式、Hashcat 模式编号等)
## 路线图
尚未发布:
- JWT generator
- 子域名排列生成器
- 安全标头分析器
- SPF/DKIM/DMARC 检查器
## 许可证
MIT 许可证 — 详见 [LICENSE](LICENSE)。
## 构建者
由渗透测试人员为渗透测试人员打造。
有反馈?请在 GitHub 上提交 issue。
标签:CISA项目, payload生成, Web安全, 云安全态势管理, 前端应用, 自动化攻击, 蓝队分析