CTF和渗透测试中可用命令直接安装的工具（自用）

CTF和渗透测试中可用命令直接安装的工具

---

引言

在 CTF 比赛和日常的渗透测试中，拥有合适的工具能够极大地提高工作效率和成功率。然而，并不是所有的工具都会在 GitHub 上发布正式的 Release 版本。许多优秀的工具已经被集成到 pip 等包管理器中，用户可以通过简单的命令直接安装，无需复杂的配置过程。这种安装方式不仅快速便捷，还可以确保你始终使用到最新版本的工具。

在使用 pip 安装工具时，由于网络原因，有时默认的源可能会导致安装失败或速度缓慢。为此，你可以选择切换到官方源或清华源来加速下载：

• 官方源：
  如果你之前切换到了国内源，并且在安装某些工具时出现问题，可以临时切换回官方源：

  pip install <package-name> -i https://pypi.org/simple
  

• 清华源：
  对于大多数用户，使用清华大学的镜像源可以显著提高下载速度。你可以通过以下命令安装工具：

  pip install <package-name> -i https://pypi.tuna.tsinghua.edu.cn/simple
  

➤ pip直接安装报错可参考以下文章：Kali Linux最新版本下无法直接pip安装？教你三招完美解决‘externally-managed-environment’报错！

---

GitHacker

介绍

GitHacker 是一款专门用于从 .git 泄露中恢复敏感信息的工具。

安装命令

可以使用 pip 直接安装 GitHacker：

pip install gitHacker

用法示例

githacker --url http://example.com/.git/ --output-folder ./out

---

Arjun

介绍

Arjun 是一款非常高效的 HTTP 参数发现工具，能够自动探测隐藏在 URL 中的参数，适用于发现诸如注入点、参数旁注等潜在漏洞。

安装命令

使用以下命令即可安装 Arjun：

pip install arjun

用法示例

arjun -u http://example.com

Arjun 将自动扫描 URL 并输出可能存在的参数名，便于进一步测试。

---

Fenjing

介绍

Fenjing （焚靖）是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本工具，可以自动攻击给定的网站或接口，省去手动测试接口，fuzz题目WAF的时间。

安装命令

Fenjing 也可以通过 pip 轻松安装：

pip install Fenjing

用法示例

fenjing -u http://example.com

---

zsteg

介绍

zsteg 是一款针对 PNG 和 BMP 图片文件的隐写分析工具，特别适合用来检测图片中的隐藏信息。它支持多种隐写分析技术，能够有效提取图像文件中的隐藏数据，在 CTF 中的隐写题目里非常实用。

安装命令

zsteg 使用 gem 安装，因为它是基于 Ruby 的工具：

gem install zsteg

提示：安装 gem 时需要确保你的系统已安装 Ruby 环境，Kali Linux 通常已自带 Ruby。

用法示例

zsteg -a secret.png | grep flag

zsteg 将自动分析图片文件，并输出检测到的隐写信息，为你揭示图片背后的秘密。

---

最后，再次感谢您阅读本篇文章，如果您对文中内容有任何疑问或建议，欢迎在评论区与我交流！您的点赞和分享将是我继续创作的动力。