Onyx–安全测试工具集

admin
admin
admin
0
文章
0
评论
2026-01-13 14:43:53 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Onyx是一款基于Go+Vue3的跨平台渗透测试工具集,集成Nuclei、httpx、naabu等引擎,提供空间测绘、端口扫描、指纹识别、目录爆破、漏洞POC、企业信息搜集、微信小程序反编译、默认密码库及微信/钉钉AK/SK利用等一站式攻防能力,支持自定义指纹与POC模板并预编译开箱即用,可显著提升测试效率与覆盖度 综合评分: 88 文章分类: 渗透测试,安全工具,红队,WEB安全,漏洞POC

cover_image

Onyx – 安全测试工具集

原创

Wraink

Flykite

2026年1月12日 16:23 四川

Onyx 是一款安全测试工具集,集合多种渗透测试常用的功能和工具,赋能攻防、渗透等场景。整合空间测绘、漏洞扫描、主机探测、信息收集等能力,提供一站式的渗透测试工作台,告别需要到处切换工具、网站的麻烦。

项目地址:https://github.com/Mstce/Onyx

核心特点&主要功能

  • 跨平台 – 支持 Windows、macOS、Linux
  • 简洁界面 – 基于 Vue 3 + Naive UI
  • 高性能 – Go 后端,并发处理能力强
  • 工具集成 – 集成 Nuclei、httpx、naabu 等工具
  • 开箱即用 – 提供预编译版本
  • 可扩展 – 支持自定义指纹规则和 POC 模板
  • 快速启动工具箱 – 一站式工具快速访问
  • 空间测绘 – 支持 Quake、FOFA、Hunter 多种测绘引擎
  • 漏洞扫描 – Nuclei POC、Monaco 编辑器、请求重放
  • 存活探测 – HTTP/HTTPS 探测、自动截图、响应分析
  • 主机探测 – 端口扫描、指纹识别、Wappalyzer、目录扫描、服务爆破、请求重放
  • 信息搜集 – 企业信息查询、股权结构分析、资产收集
  • 攻防赋能 – FScan 处理、快速截图、杀软识别、默认密码查询、JS 信息搜集
  • 泄漏利用 – 微信/钉钉 AK SK 利用
  • 数据加解密 – 格式处理、CyberChef、JWT 利用、密文加解密
  • 小程序分析 – 微信小程序扫描、反编译、敏感信息搜集

功能

快速启动工具箱

渗透测试工具快速启动

空间测绘

支持多种网络空间测绘引擎

漏洞扫描

  • Nuclei

  • POC兼容Nuclei模板格式

  • POC 编辑器

  • Monaco 编辑器,支持语法高亮

  • 请求重放

  • 支持自定义 HTTP 请求

漏洞管理:

自定义POC:

探测功能

端口扫描

  • 基于 naabau 扫描
  • 预设常用端口(Top 100/1000)
  • 自定义端口范围
  • 服务识别与 Banner 抓取

指纹识别

  • 10,520+ 指纹规则库
  • 支持 body/header/title/icon_hash 匹配
  • 自动识别 Web 技术栈

目录扫描

  • 多线程字典扫描
  • 自定义字典和扩展名
  • 智能去重和状态过滤

服务爆破

支持 20+ 协议:

  • SSH, FTP, Telnet
  • MySQL, PostgreSQL, MSSQL
  • Redis, MongoDB, Memcached
  • RDP, VNC, SMB
  • HTTP Basic/Digest Auth

请求重放

  • 自定义 HTTP 请求
  • 支持各种请求方法
  • 实时查看请求和响应

示例

信息搜集

  • 通过域名查询相关企业信息
  • 股权结构分析
  • 资产收集与关联分析

攻防赋能

FScan 结果处理

自动解析和格式化 FScan 扫描结果

快速截图

结果批量截图

杀软识别

识别目标主机安装的安全软件

默认密码查询

常见资产默认密码数据库

JS 敏感信息搜集

自动提取 JavaScript 中的敏感信息

示例

泄漏利用

微信利用

支持公众号、小程序、企业微信的 AK、SK 利用

钉钉利用

支持标准钉钉、专属钉钉利用

数据加解密

格式处理

多种预置情况数据处理

CyberChef

数据处理的瑞士军刀

JWT 密钥相关利用

JWT 解析、生成与密钥利用

常见资产密文加解密

渗透测试常见高危资产密文加解密

微信小程序

  • 自动扫描

  • 自动扫描微信小程序

  • 小程序反编译

  • 微信小程序反编译与代码分析

  • 小程序敏感信息搜集

  • 自动提取小程序中的敏感信息

  • 自定义正则表达式

  • 支持自定义正则表达式进行信息匹配

免责声明

重要提示:本工具仅供安全研究和授权测试使用。

请确保在合法合规的前提下使用本工具!

1.授权要求 – 使用本工具前,必须获得目标系统所有者的明确授权

2.法律责任 – 未经授权使用本工具进行测试可能违反《网络安全法》等相关法律法规

3.使用风险 – 使用本工具产生的一切后果由使用者自行承担,作者不承担任何责任

4.教育目的 – 本工具旨在帮助安全研究人员提升技能,加强网络安全防护

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Flykite Wraink《Onyx – 安全测试工具集》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
Nu1LTeam×阿里CTF2026 网络安全文章

Nu1LTeam×阿里CTF2026

文章总结: 阿里CTF2026将于1月31日开赛,Nu1LTeam担任唯一技术支持并与阿里云共同打造。声明强调赛事公平,出题方不参赛,队内非出题成员可代表原单位
01-130 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0