📸 功能预览
主界面 --- 攻击分类导航
左侧树形导航覆盖23类Web攻击+11类内网渗透,右侧快速提示引导上手
🔗 攻击链可视化 --- 从线索到利用的完整路径
核心亮点:每条Payload都是一条可见化攻击链,以节点流程图展示从「探测注入点→确定列数→确定回显位→提取数据」的完整攻击步骤,新手也能一步步跟着打
🎓详细教学 --- 漏洞原理 + 利用方法 + 防御方案
每条Payload都附有完整教程:概述 → 漏洞原理 → 利用方法 → 防御措施,不只是给你命令,更教你为什么这么打
💻 执行命令 --- 分步骤 + 语法解析 + 一键复制
每个步骤都有独立命令块,支持语法高亮解析 (19种颜色标注)和一键复制,直接拿去用
内置Nmap、SQLMap、Burp Suite、Metasploit等114条常用命令,每条都有中文说明和语法解析
🔐 编解码工具 --- URL / Base64 / Hex / HTML / Unicode / JWT
内置智能编解码器,渗透过程中随时调用,支持6种编码格式互转
项目简介
Payloader是一个中英双语的渗透安全参考平台,面向安全研究人员、渗透测试工程师和红队成员。
项目汇集了300 多条提出编写的攻防路线,主题 Web 应用安全与内网渗透领域,每条路线均包含完整的攻击链步骤、语法高亮解析、WAF/EDR 绕过方案和学习教程。
⚠️ 免责声明:本仅用于合法授权的安全测试、学习研究和防御疫苗。用户项目须遵守当地法律法规,任何未经授权的攻击行为均与本项目无关。
功能特点
核心能力
| 功能 | 说明 |
|---|---|
| 178 条 Web 载荷 | 23 个分类 --- 从经典 SQL 注入到 AI 安全 |
| 129 条内网载荷 | 11 个分类 --- 信息搜集、凭据窃取、横向移动、域攻击 |
| 114 条工具命令 | Nmap、SQLMap、Burp Suite、Metasploit 等 |
| 完整攻击链 | 每条载荷包含侦察→识别→利用→后渗透步骤(3步以上) |
| WAF/EDR 绕过 | 176 条 Web 载荷包含专用绕过变体 |
| 语法高亮解析 | 4,700+ 条语法分解条目,19 种颜色标注类型 |
| 学习教程 | 177 条载荷含完整教程(概述/漏洞原理/利用方式/防御方案) |
交互功能
| 功能 | 说明 |
|---|---|
| 🌐 中英双语切换 | 一键切换中文/英文界面,默认中文 |
| 🌓 暗黑/明亮模式 | 用户级主题偏好,自动保存 |
| 🔗 攻击链可视化 | 节点式攻击步骤流程图 |
| 📋 一键复制 | 复制单步或全部命令,支持变量替换 |
| 🔍 全局搜索 | 按名称/描述/标签/分类实时模糊搜索 |
| 🔄 全局变量替换 | 定义 TARGET_IP、DOMAIN 等变量,全平台自动替换 |
本地使用
环境要求
- Node.js 版本>= 18.0
- npm >= 8.0(或 pnpm / 纱线)
安装与启动
# 1. 克隆项目
git clone https://github.com/3516634930/Payloader.git
cd Payloader
# 2. 安装依赖
npm install
# 3. 启动开发服务器
npm run dev启动后在浏览器打开http://localhost:5173即可使用。
构建生产版本
npm run build构建产物在dist/目录下,是纯静态文件(HTML + CSS + JS),可以直接用浏览器打开dist/index.html使用。
服务器部署
Payloader构建后是纯静态站点,不需要租赁服务,任何能够托管静态文件的方式都可以。
方式一:Nginx部署(推荐)
# 1. 在本地构建
npm run build
# 2. 将 dist/ 目录上传到服务器
scp -r dist/ user@your-server:/var/www/payloader
# 3. 配置 NginxNginx 配置示例:
server {
listen 80;
server_name your-domain.com;
root /var/www/payloader;
index index.html;
location / {
try_files $uri $uri/ /index.html;
}
# 静态资源缓存
location /assets/ {
expires 1y;
add_header Cache-Control "public, immutable";
}
# 开启 gzip 压缩
gzip on;
gzip_types text/plain text/css application/json application/javascript text/xml;
}
# 4. 重载 Nginx
sudo nginx -t && sudo nginx -s reload方式二:Docker部署
在项目根目录创建Dockerfile:
FROM node:18-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm install
COPY . .
RUN npm run build
FROM nginx:alpine
COPY --from=builder /app/dist /usr/share/nginx/html
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]然后运行:
# 构建镜像
docker build -t payloader .
# 启动容器
docker run -d -p 8080:80 --name payloader payloader访问http://your-server:8080即可。
方式三:直接使用 Node.js 预览
# 在服务器上构建并预览
npm run build
npm run preview -- --host 0.0.0.0 --port 8080注意:vite preview不适合生产环境高并发,仅用于快速预览或内网使用。
方式四:GitHub Pages / Vercel / Netlify
直接将仓库导入这些平台,设置构建命令为npm run build,输出目录为dist,即可自动部署。
数据统计
Web应用安全 --- 23个分类,178条发票
| 分类 | 发票号码 |
|---|---|
| SQL/NoSQL注入(MySQL/MSSQL/Oracle/PostgreSQL/SQLite/MongoDB/Redis) | 17 |
| XSS跨站脚本(反射型/存储型/DOM/mXSS/CSP绕过) | 12 |
| SSRF 服务端请求格式(AWS/GCP/Azure 元数据、DNS 重绑定) | 12 |
| RCE远程代码执行(PHP/命令注入/反序列化/文件上传) | 12 |
| XXE XML外部大象注入(盲注/OOB/文件读取/XLSX/DOCX) | 9 |
| SSTI模板注入(Jinja2/FreeMarker/Velocity/Thymeleaf 等10种引擎) | 10 |
| LFI/RFI 文件包含(Wrappers/日志投毒/Phar 反序列化) | 12 |
| CSRF跨站请求伪造(JSON/SameSite绕过/Token绕过) | 7 |
| API安全(GraphQL/REST/JWT/IDOR/BOLA/批量定量) | 12 |
| 框架漏洞(Spring/Struts2/WebLogic/ThinkPHP/Fastjson/Log4j/Shiro) | 18 |
| 认证漏洞(绕过/爆破/OAuth/SAML/2FA) | 10 |
| 文件漏洞(上传绕过/任意下载/竞态条件/Zip Slip) | 8 |
| 服务器与CDN安全(服务器投毒/服务器欺骗/CDN绕过) | 3 |
| HTTP请求走私(CL-CL/CL-TE/TE-CL/TE-TE) | 4 |
| 开放重定向(基础/绕过/重定向到SSRF) | 3 |
| 点击劫持(基础/结合XSS) | 2 |
| 业务逻辑漏洞(IDOR/竞态条件/价格篡改/流程绕过) | 5 |
| JWT 安全(无算法/弱密钥/KID注入/JKU原装) | 4 |
| 供应链攻击(仿冒包/CI-CD投毒/依赖障碍) | 3 |
| 原型链污染(服务端RCE/客户端XSS/NoSQL注入) | 3 |
| 云安全(SSRF元数据/S3配置错误/IAM提权/K8s逃逸) | 4 |
| WebSocket安全(劫持/走私/认证绕过) | 3 |
| AI安全(提示注入/模型窃取/对抗样本/RAG投毒) | 4 |
内网渗透 --- 11 个分类,129 条发票
| 分类 | 说明 |
|---|---|
| 信息收集 | BloodHound/SPN 扫描/端口扫描/域信息/ACL 枚举 |
| 窃取 | Mimikatz/Kerberoasting/AS-REP Roasting/SAM&NTDS/DPAPI |
| 横向移动 | PsExec/WMI/哈希传递/NTLM中继/WinRM/DCOM/RDP |
| 权限提升 | Token窃取/UAC绕过/DLL劫持/Potato/SUID/Sudo/内核 |
| 权限维持 | 多边/计划任务/WMI事件/黄金丝绸/白银丝绸/万能戒指 |
| 隧道与代理 | FRP/Chisel/SSH/DNS/ICMP/Ligolo/EW |
| 域攻击 | Zerologon/PrintNightmare/PetitPotam/DCSync/DCShadow/ADCS |
| ADCS攻击 | ESC1-ESC8全攻击链 |
| 免杀绕行 | AMSI绕过/ETW碎片/API脱钩/进程占用/DLL侧加载 |
| 交易所攻击 | ProxyLogon/ProxyShell/ProxyToken/邮箱访问 |
| SharePoint攻击 | 枚举/文件访问 |
工具命令 --- 8 个分类,114 条命令
警惕(Nmap/Masscan/Gobuster/Amass)、Web渗透(SQLMap/Burp/Nikto)、漏洞利用(Metasploit/ysoserial)、密码攻击(Hydra/Hashcat/John)、内网(CrackMapExec/Impacket/Rubeus)、系统命令、中继Shell(12种语言)、编码解码。
使用指南
浏览适配器
- 从左侧导航栏选择Web应用 或内网渗透
- 展开分类树,点击书签查看详情
- 详情包含:执行步骤、WAF绕过、攻击链可视化、教程
语言切换
点击顶栏中文/EN按钮,一键切换中英文界面。偏好自动保存。
全局搜索
在顶部搜索栏输入关键词(如SQL注入、Mimikatz、SSRF),侧边栏实时过滤匹配结果。
全局变量替换
- 点击顶栏**🔧变量**按钮打开变量面板
- 设置参数,如
TARGET_IP=192.168.1.100 - 所有发票中的
{``{TARGET_IP}}占位符会自动高亮替换 - 复制的命令已包含变量替换
内置默认参数:
| 指标名 | 默认值 | 用途 |
|---|---|---|
TARGET_IP |
192.168.1.100 |
目标IP |
TARGET_DOMAIN |
target.com |
目标域名 |
ATTACKER_IP |
10.10.14.1 |
攻击者IP |
LPORT |
4444 |
监听端口 |
项目结构
notranslate
<span style="background-color:#f6f8fa"><span style="color:#1f2328"><span style="color:#1f2328"><span style="background-color:#f6f8fa"><code>Payloader/
├── public/ # 静态资源
├── src/
│ ├── App.tsx # 入口 & 全局状态
│ ├── main.tsx # React 挂载点
│ ├── i18n/
│ │ └── index.ts # 国际化系统 (中/英)
│ ├── components/
│ │ ├── Header.tsx # 顶栏(主题/搜索/语言/变量)
│ │ ├── Sidebar.tsx # 侧边导航(树形/搜索过滤)
│ │ ├── MainContent.tsx # 主内容路由
│ │ ├── PayloadDetail.tsx # 载荷详情(攻击链/复制/高亮)
│ │ ├── ToolDetail.tsx # 工具命令详情
│ │ ├── SyntaxModal.tsx # 语法分解弹窗(19种颜色)
│ │ └── EncodingTools.tsx # 编解码工具
│ ├── data/
│ │ ├── webPayloads.ts # Web载荷数据(18,700+行)
│ │ ├── intranetPayloads.ts # 内网载荷数据(5,900+行)
│ │ ├── toolCommands.ts # 工具命令数据(3,800+行)
│ │ └── navigation.ts # 导航树定义
│ ├── types/
│ │ └── index.ts # TypeScript 类型定义
│ └── styles/
│ └── global.css # 全局样式(暗/亮主题变量)
├── index.html
├── vite.config.ts
├── tsconfig.json
└── package.json
</code></span></span></span></span>技术栈
| 技术 | 版本 | 用途 |
|---|---|---|
| React | 19.2 | 用户界面框架 |
| TypeScript | 5.9 | 类型安全 |
| 维特 | 8.0(测试版) | 构建工具 |
| 自研i18n | - | 双语系统 |
| CSS变量 | - | 主题系统 |
| 本地存储 | - | 用户偏好持久化 |
零外部UI依赖---无任何UI库,纯手写CSS,最大限度轻量。