payloadify/payloadify

GitHub: payloadify/payloadify

面向渗透测试人员的纯客户端安全工具包,将 payload 生成、命令构建与漏洞评分等常用操作整合为零安装的浏览器应用。

Stars: 2 | Forks: 0

# Payloadify — 面向渗透测试人员的安全工具包 ## Payloadify 是什么? 手动构建正确的 payload 或命令通常意味着要先翻阅 man 手册、`--help` 输出或分散的文档。Payloadify 跳过了这些步骤:只需点击几个选项,就能直接获得开箱即用的命令或 payload —— 把它想象成渗透测试人员、Bug Bounty 猎人、OSCP/CEH 学生以及红队成员的 iLovePDF,他们通过搜索引擎找到特定的工具,用完即走。 已上线:[payloadify.dev](https://payloadify.dev)。 ## 功能 每个工具都位于其专属的 URL(例如 `/jwt-decoder`),而不是一个共享的空白画布应用。 - **JWT Decoder/Tamper** (`/jwt-decoder`) — 解码 header/payload,标记 `alg:none` 和弱签名,编辑 claims 并重新签名 - **Hash Identifier** (`/hash-identifier`) — 识别哈希的可能类型,提供排序后的候选列表以及匹配的 Hashcat 模式编号 - **Hash Generator** (`/hash-generator`) — 从文本生成 MD5、SHA-1、SHA-256、SHA-384、SHA-512 和 NTLM 哈希,通过标签页与 Identifier 联动 - **Payload Encoder** (`/payload-encoder`) / **Decoder** (`/payload-decoder`) — 链式组合 Base64、Hex、URL、HTML-entity 和 Unicode-escape 步骤,以构建或解包混淆的 payload - **Homoglyph Identifier** (`/homoglyph-identifier`) — 检测可疑文本(例如欺骗性域名)中的 Unicode 同形字/易混淆字符 - **Homoglyph Generator** (`/homoglyph-generator`) — 生成同形字替换的形似字符串 - **XSS Payload Generator** (`/xss-generator`) — 构建从基础到高级 WAF-bypass 及编码技术的 XSS payload,适用于反射型/存储型或基于 DOM 的场景 - **SQLi Payload Generator** (`/sqli-generator`) — 构建 MySQL、MSSQL、PostgreSQL、Oracle 和 SQLite 的 SQL 注入 payload,支持链式信息提取、WAF-evasion 混淆和黑名单字符规避 - **Reverse Shell Generator** (`/reverse-shell-generator`) — 生成 Bash、Netcat、Python、PHP、Perl、Ruby、Socat、Awk、Telnet、Node.js、Lua、Golang 和 PowerShell 的 reverse shell 单行命令,并提供匹配的 listener 命令和另存为文件的选项 - **MSFVenom Command Generator** (`/msfvenom-generator`) — 构建 msfvenom 命令,提供针对 Windows、Linux、macOS 和 Android payload 的模板预设、evasion encoders 和架构,并附带 listener 设置指南 - **CVSS 3.1/4.0 Calculator** (`/cvss-calculator`) — 适用于两个 CVSS 版本的点击式 vector 构建器,包含漏洞模板、链式漏洞评分、OWASP 映射,以及可复制的 VRT 分数和参考链接 更多工具(JWT generator、子域名排列生成器、安全标头分析器、SPF/DKIM/DMARC 检查器)已在计划中 — 详见 [路线图](#roadmap)。 ## 快速开始 ### 在线使用(无需安装) 访问 [payloadify.dev](https://payloadify.dev) — 所有操作均在你的浏览器中运行。 ### 自托管(本地) ``` git clone https://github.com/yourusername/payloadify.git cd payloadify npm install npm run dev ``` 打开 [http://localhost:3000](http://localhost:3000)。 其他脚本: ``` npm run build # static production build (outputs to /out) npm run lint # eslint npm run test # vitest ``` ## 工作原理 所有工具**仅在客户端运行** — 你的数据永远不会离开你的浏览器。粘贴,生成,复制。就这么简单。没有数据库,没有账户,也没有登录。只有在完全不可避免的情况下才会使用后端(目前发布的工具均不需要)。 ## 技术栈 - 前端:[Next.js](https://nextjs.org)(静态导出)、React、TypeScript - 样式:Tailwind CSS - 托管:Cloudflare Pages(免费套餐) - 测试:Vitest ## 项目结构 ``` app/ Route pages — one folder per tool URL (e.g. app/jwt-decoder/) components/ UI, organized by tool (components/tools//) and shared/site chrome lib/ Framework-free core logic per tool (encoding, hashing, generation, validation) public/ Static assets (favicons, manifest) scripts/ One-off data build scripts (not part of the app runtime) ``` ## 安全性 - 客户端处理 — 无服务器,无数据收集 - 开源 — 你可以自己审计代码 - 无跟踪,无分析,无广告 - 符合规范的输出(RFC 7519、msfvenom 格式、Hashcat 模式编号等) ## 路线图 尚未发布: - JWT generator - 子域名排列生成器 - 安全标头分析器 - SPF/DKIM/DMARC 检查器 ## 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。 ## 构建者 由渗透测试人员为渗透测试人员打造。 有反馈?请在 GitHub 上提交 issue。
标签:CISA项目, payload生成, Web安全, 云安全态势管理, 前端应用, 自动化攻击, 蓝队分析