Onyx 是一款安全测试工具集,集合多种渗透测试常用的功能和工具,赋能攻防、渗透等场景。整合空间测绘、漏洞扫描、主机探测、信息收集等能力,提供一站式的渗透测试工作台,告别需要到处切换工具、网站的麻烦。
| 模块 | 说明 |
|---|---|
| 空间测绘 | 集成 Fofa、Hunter、Quake 三大测绘引擎,支持批量资产导出 |
| 漏洞扫描 | 基于 Nuclei 引擎,支持 POC 管理、批量扫描、请求包可视化、一键生成验证图片 |
| 辅助工具 | 内置 CyberChef、JWT 密钥爆破、编码转换、Fscan 结果处理、攻防批量截图 |
| 应用加解密 | 提供 FinalShell、Navicat、蓝凌、致远、帆软、Druid、JBoss 等常见应用/中间件的加解密工具 |
| 小程序分析 | 支持微信小程序自动识别、反编译 (.wxapkg)、敏感信息正则提取 |
| 企业信息 | 支持 IP 归属地查询、ICP 备案信息查询、企业与股权结构分析 |
| 信息探测 | 包含端口扫描、杀软识别、指纹识别、敏感信息采集 (JS 分析) |
macos打不开请运行: sudo xattr -d com.apple.quarantine Onyx.app
渗透测试工具快速启动
支持多种网络空间测绘引擎
- Nuclei - POC兼容Nuclei模板格式
- POC 编辑器 - Monaco 编辑器,支持语法高亮
- 请求重放 - 支持自定义 HTTP 请求
漏洞管理:
自定义POC:
- 自定义 HTTP 请求
- 支持各种请求方法
- 实时查看请求和响应
-
通过域名查询相关企业信息
-
股权结构分析
-
资产收集与关联分析
自动解析和格式化 FScan 扫描结果
结果批量截图
支持公众号、小程序、企业微信的 AK、SK 利用
渗透测试常见高危资产密文加解密
- 自动扫描 - 自动扫描微信小程序
- 小程序反编译 - 微信小程序反编译与代码分析
- 小程序敏感信息搜集 - 自动提取小程序中的敏感信息
- 自定义正则表达式 - 支持自定义正则表达式进行信息匹配
感谢以下贡献者对本项目的支持:
| 头像 | 用户名 | 链接 |
|---|---|---|
| Mstce | @Mstce | |
| Y5neKO | @Y5neKO | |
| In1t0 | @In1t0 | |
访问 Releases 下载对应平台的安装包:
| 关注微信公众号 | 微信 |
重要提示:本工具仅供安全研究和授权测试使用。
- 授权要求 - 使用本工具前,必须获得目标系统所有者的明确授权
- 法律责任 - 未经授权使用本工具进行测试可能违反《网络安全法》等相关法律法规
- 使用风险 - 使用本工具产生的一切后果由使用者自行承担,作者不承担任何责任
- 教育目的 - 本工具旨在帮助安全研究人员提升技能,加强网络安全防护
请确保在合法合规的前提下使用本工具!