项目简介
Onyx 是一款安全测试工具集,集合多种渗透测试常用的功能和工具,赋能攻防、渗透等场景。整合空间测绘、漏洞扫描、主机探测、信息收集等能力,提供一站式的渗透测试工作台,告别需要到处切换工具、网站的麻烦。
| 模块 | 说明 |
|---|---|
| 空间测绘 | 集成 Fofa 、Hunter 、Quake 三大测绘引擎,支持批量资产导出 |
| 漏洞扫描 | 基于 Nuclei 引擎,支持 POC 管理、批量扫描、请求包可视化、一键生成验证图片 |
| 辅助工具 | 内置 CyberChef、JWT 密钥爆破、编码转换、Fscan 结果处理、攻防批量截图 |
| 应用加解密 | 提供 FinalShell 、Navicat 、蓝凌 、致远 、帆软 、Druid 、JBoss 等常见应用/中间件的加解密工具 |
| 小程序分析 | 支持微信小程序自动识别、反编译 (.wxapkg)、敏感信息正则提取 |
| 企业信息 | 支持 IP 归属地查询、ICP 备案信息查询、企业与股权结构分析 |
| 信息探测 | 包含端口扫描、杀软识别、指纹识别、敏感信息采集 (JS 分析) |
提示
macos打不开请运行: sudo xattr -d com.apple.quarantine Onyx.app
功能
快速启动工具箱
渗透测试工具快速启动
空间测绘
支持多种网络空间测绘引擎
漏洞扫描
- Nuclei - POC兼容Nuclei模板格式
- POC 编辑器 - Monaco 编辑器,支持语法高亮
- 请求重放 - 支持自定义 HTTP 请求
漏洞管理:
自定义POC:
-- 支持AI助力生成POC
请求重放
- 自定义 HTTP 请求
- 支持各种请求方法
- 实时查看请求和响应
示例
信息搜集
-
通过域名查询相关企业信息
-
股权结构分析
-
资产收集与关联分析
攻防赋能
FScan 结果处理
自动解析和格式化 FScan 扫描结果
快速截图
结果批量截图
泄漏利用
微信利用
支持公众号、小程序、企业微信的 AK、SK 利用
常见资产密文加解密
渗透测试常见高危资产密文加解密
微信小程序
- 自动扫描 - 自动扫描微信小程序
- 小程序反编译 - 微信小程序反编译与代码分析
- 小程序敏感信息搜集 - 自动提取小程序中的敏感信息
- 自定义正则表达式 - 支持自定义正则表达式进行信息匹配